4,6 Millionen Dollar haben frontier-KI-Modelle in einer Simulation aus bereits gehackten DeFi-Protokollen „gestohlen“. Der Anthropic Fellows Report 2026, veröffentlicht vom Anthropic Fellows Program und von CoinDesk ausführlich dokumentiert, markiert eine Zäsur: Sicherheitsdenken im DeFi-Bereich wird sich grundlegend verändern müssen.
GPT-5 und Claude Sonnet 4.5 haben dabei nicht nur Schwachstellen identifiziert. Laut dem Anthropic Fellows Program synthetisierten die Modelle vollständige Exploit-Skripte, sequenzierten Transaktionen und entzogen simulierter Liquidität Mittel auf eine Weise, die Forscher als „klinisch identisch“ mit realen Angriffen auf Ethereum und BNB Chain beschreiben. Besonders aufschlussreich ist die Methodik: Die Modelle wurden auf Verträgen getestet, die nach ihrem Knowledge Cutoff gehackt wurden. Verträge, die sie nie zuvor gesehen hatten. Die Grundidee war schlicht: Findet ein KI-Modell einen Exploit, ohne die bereits dokumentierte Schwachstelle zu kennen, war die Sicherheitslücke real und isolierbar ohne Vorwissen.
Kerndaten
- Simulierte Exploits auf Post-Cutoff-Verträgen (GPT-5 + Sonnet 4.5) 4,6 Millionen Dollar
- Gescannte, nicht kompromittierte BNB-Chain-Verträge 2.849
- Echte Zero-Days gefunden von GPT-5 und Sonnet 4.5 2 Schwachstellen
- Simulierter Gewinn aus den Zero-Days 3.694 Dollar
- Durchschnittliche monatliche API-Aufrufe GoPlus Security (2025) 717 Millionen
Quelle: Anthropic Fellows Program · CoinDesk · 2026
Quelle: Anthropic Fellows Program · CoinDesk · 2026
Können KI-Agenten DeFi-Protokolle wirklich angreifen?
De facto: die kurze Antwort lautet bereits: Ja, und die ausführliche Antwort ist beunruhigender. Die Frontier-Modelle waren zum Zeitpunkt der Veröffentlichung des Papers nicht darauf ausgelegt, Exploits durchzuführen. Sie verfügen über kein dediziertes Kriminalitätsmodul. Stattdessen nutzten sie symbolisches Schlussfolgern, Verständnis von Solidity-Code und architekturelles Wissen über DeFi-Protokolle, um eigenständig zu ermitteln, wo Code versagt.
Die erste auf BNB Chain gefundene Schwachstelle resultierte aus einem fehlenden „view“-Modifikator in einer öffentlichen Funktion: Wer sie aufrief, konnte sein Token-Guthaben künstlich aufblähen. Die zweite war eine manipulierbare Oracle-Preislogik, die durch eine spezifische Transaktionssequenz im selben Block ausgenutzt werden konnte. Keiner der beiden Verträge zeigte vor dem Scan Anzeichen einer vorherigen Kompromittierung. Der potenzielle Schaden war im absoluten Wert bescheiden: 3.694 Dollar simuliert. Das Problem ist nicht die Schadenshöhe. Es ist die Geschwindigkeit und der geringe Entdeckungsaufwand: Ein KI-Agent fand zwei aktive Zero-Days in 2.849 Verträgen ohne spezifischen menschlichen Input.
Zum Verständnis der Tragweite: Ein professionelles Audit eines einzelnen DeFi-Vertrags kostet laut Marktdaten zwischen 5.000 und 50.000 Dollar, dauert Wochen und liefert einen detaillierten Bericht. Ein KI-Agent, der dieselbe Arbeit parallel an Tausenden von Verträgen erledigt, verschiebt das Kräfteverhältnis zwischen Angreifern und Verteidigern erheblich. Bisher war der Aufwand für die Suche nach Schwachstellen durch Zeit und Expertise begrenzt. Das gilt nicht mehr. Betroffen ist jedes Protokoll, das reale Liquidität on-chain verwaltet, unabhängig von der Jurisdiktion und weit über reine Compliance-Fragen nach MiCA hinaus.
Ethereum, Fusaka und die wachsende Angriffsoberfläche
Fusaka, das Ethereum-Upgrade vom 3. Dezember 2025, hat die Gebühren auf Layer-2-Netzwerken dank PeerDAS um 40 bis 60 Prozent gesenkt. Niedrigere Kosten bedeuten mehr deployete Verträge, mehr fragmentierte Liquidität und eine breitere Angriffsoberfläche. Das ist keine Theorie. Nach Dencun im März 2024, das bereits die Blob-Kosten gesenkt hatte, wuchs die Zahl der Verträge auf BNB Chain und Ethereum-L2 laut On-Chain-Daten von DL News binnen zwölf Monaten um 340 Prozent. Mehr neue Verträge bedeuten mehr eilig geschriebene Verträge und damit mehr noch unentdeckte Schwachstellen.
OANDA hatte bereits in seinem Mai-Update KI-Agenten als eine der heißesten Narrative rund um Ethereum bezeichnet: autonome Entitäten, die on-chain operieren, in ETH transagieren und aus Marktbedingungen lernen. Die verlockende „DeFAI“-Erzählung trifft nun auf eine Frage, die bisher noch niemand so klar dokumentiert gestellt hatte: Wer auditiert die Verträge, die diese Agenten nutzen? Institutionelle Stablecoins wie BlackRocks BSTBL leben auf Ethereum. Findet ein KI-Agent eine Schwachstelle in einem tokenisierten Money Market vor dem Sicherheitsteam, reichen die Konsequenzen weit über den Retail-DeFi-Bereich hinaus. Für in Deutschland tätige institutionelle Anleger, die über BaFin-regulierte Verwahrstellen in tokenisierte Vermögenswerte investieren, stellt sich damit eine neue Risikodimension.
Das Anthropic-Paper schlägt keine Lösungen vor. Es dokumentiert ein Problem, mit der methodischen Präzision einer Institution, die die Glaubwürdigkeit dafür besitzt. Die Reaktion der Security-Branche ist bereits spürbar: GoPlus verzeichnete laut eigenen Angaben im Jahr 2025 bereits 717 Millionen monatliche API-Aufrufe, Tendenz steigend. CertiK hat für Juli 2026 einen spezifischen Report zu KI-Agenten und der Angriffsoberfläche in DeFi-Protokollen der nächsten Generation angekündigt. CertiK hatte 2025 bereits dokumentiert, dass Exploits on-chain Verluste von 3 Milliarden Dollar verursacht hatten. Der regulatorische Rahmen in den USA, der DeFi-Protokolle unter dem Clarity Act einordnet, konzentriert sich auf Aufsicht statt auf technischen Schutz. Die Lücke zwischen Regulierung und technischer Realität war selten so deutlich wie jetzt.
Für DACH-Anleger und Protokollentwickler ergibt sich aus dem Anthropic-Report eine klare Schlussfolgerung: Automatisierte Smart-Contract-Audits durch KI-Systeme sind kein Zukunftsszenario, sondern bereits Realität. Wer Kapital in DeFi-Protokollen hält oder dort entwickelt, sollte verfolgen, ob und wann CertiKs angekündigter Juli-Report konkrete Handlungsempfehlungen für Protokoll-Teams liefert. Das nächste Zero-Day auf einer live betriebenen Chain muss kein Forscher finden.
