Drücken Sie ESC, um zu schließen

DeFi-Sicherheit: Checkliste vor dem Investment in Protokolle

DeFi-Sicherheit: Checkliste vor dem Investment in Protokolle

Ein selbst durchgeführtes Audit bedeutet nicht nur, Bugs im Code zu finden, sondern auch, den „Geruch“ eines Projekts ganzheitlich zu bewerten. Im Jahr 2026, wenn KI-Agenten und komplexe Cross-Chain-Interaktionen zur Norm geworden sind, ist der Preis eines Fehlers drastisch gestiegen.

Unten finden Sie einen praktischen Leitfaden zum Überleben in DeFi, unterteilt nach Schwierigkeitsstufen — von der schnellen visuellen Überprüfung bis zur tiefgehenden Codeanalyse.

 

Smart-Contract-Audit in Eigenregie: Checkliste vor dem Geldversand

1. Level „Patient Null“: Hygiene und äußere Anzeichen

Bevor Sie den Code öffnen, prüfen Sie die „soziale Ebene“ der Sicherheit.

  • Reputation des Auditors: Ein einzelnes grünes Häkchen reicht nicht. Suchen Sie nach Berichten von Tier-1-Firmen (Spearbit, Trail of Bits, OpenZeppelin, Zellic). Wenn ein Audit von einer unbekannten Firma für $500 durchgeführt wurde, betrachten Sie es, als hätte es das Audit nicht gegeben.
  • Aktualität des Berichts: Prüfen Sie das Datum. Wenn das Protokoll auf v2 oder v3 aktualisiert wurde, das Audit aber noch v1 behandelt, befinden Sie sich im Risikobereich.
  • Bug Bounty: Ein aktives Programm auf Immunefi mit Belohnungen ab $50k für kritische Schwachstellen ist ein starkes Indiz für das Vertrauen des Teams in seinen Code.

2. Level „Architekt“: Governance-Parameter prüfen

Die meisten „Diebstähle“ zwischen 2024 und 2026 erfolgen nicht durch Hacker, sondern über Admin Keys.

  • Timelock: Jede kritische Änderung (Mittelabzug, Logikänderung) sollte verzögert werden (z. B. 48 Stunden).
    • Wie prüfen: Finden Sie die owner-Adresse auf Etherscan/Blockscout. Wenn es sich um ein normales Wallet (EOA) handelt und nicht um einen Timelock- oder Multisig-Vertrag, kann der Entwickler das Projekt jederzeit deaktivieren.
  • Multisig: Stellen Sie sicher, dass die Governance verteilt ist (mindestens 3-of-5 oder 5-of-9).
    • Weniger bekannter Punkt: Prüfen Sie, ob nicht alle Multisig-Schlüssel derselben Personengruppe gehören (verbundene Adressen, von derselben Börse finanziert).

 

3. Level „Code Reviewer“: Praktische Analyse (Solidity)

Wenn Sie den Contract-Tab auf Etherscan geöffnet haben, achten Sie auf folgende „Red Flags“.

A. Minting-Funktion (unbegrenztes Token-Minting)

Suchen Sie nach Funktionen, die es dem Admin erlauben, Token unbegrenzt zu minten.

// GEFAHR: Admin kann Billionen Token minten und den Preis zerstören
function mint(address to, uint256 amount) public onlyOwner {
    _mint(to, amount);
}

Tipp: In seriösen Protokollen existiert mint entweder nicht, ist durch ein cap (maximale Ausgabe) begrenzt oder wird nur über Belohnungsmechanismen aufgerufen.

B. Versteckte Proxy- und Upgrade-Funktionen

Moderne Verträge verwenden oft das Proxy-Muster (ein Vertrag speichert Daten, ein anderer die Logik).

  • Problem: Der Admin kann die Logik unbemerkt durch bösartigen Code ersetzen.
  • Prüfung: Wenn der Vertrag als Proxy markiert ist, prüfen Sie die Implementation-Adresse. Wurde sie gestern ohne Ankündigung geändert, Vorsicht!

C. Reentrancy (Mehrfache Ausführung)

Ein klassischer Fehler, der noch immer Anfänger erwischt. Stellen Sie sicher, dass Withdrawal-Funktionen den nonReentrant-Modifier verwenden oder das Prinzip Checks-Effects-Interactions befolgen.

 

4. Level „Master“: Logische Fallen und Orakel

Hier verbergen sich die raffiniertesten Schwachstellen von 2026.

  • Abhängigkeit vom Spot-Preis: Wenn das Protokoll den Token-Preis direkt aus einem Uniswap v3/v4-Paar zieht, kann es per Flash Loan angegriffen werden.
    • Worauf achten: Auf slot0-Aufrufe in Uniswap-Integrationen ohne Manipulationskontrolle. Richtiger Ansatz: Nutzung von TWAP (Time Weighted Average Price) oder Chainlink Oracles.
  • Token mit Fee-on-Transfer: Wenn das Protokoll nicht berücksichtigt, dass ein Teil der Token bei der Übertragung verbrannt wird (wie bei einigen Memecoins), kann die interne Buchhaltung des Vertrags fehlschlagen und Gelder blockieren.

Beispiel für gefährlichen Code (Accounting Gap):

function deposit(uint256 amount) public {
    token.transferFrom(msg.sender, address(this), amount);
    balances[msg.sender] += amount; // FEHLER: Wenn der Token 2% Gebühr erhebt,
                                    // erhält der Vertrag weniger als im balances-Wert angegeben!
}

5. Praktische Checkliste „5 Minuten vor der Transaktion“

Bevor Sie auf „Swap“ oder „Stake“ klicken, prüfen Sie die Vertragsadresse mit diesen Tools:

  1. De.Fi Scanner / Honeypot.is: Schnelle Überprüfung auf offensichtlichen Scam und versteckte Gebühren.
  2. Dune Analytics: Prüfen Sie Ein- und Ausflüsse (TVL). Wenn 90 % der Liquidität von einer Adresse stammen, ist das Volumen wahrscheinlich manipuliert.
  3. Phalcon (by BlockSec): Ermöglicht die Simulation Ihrer Transaktion im Mainnet ohne Gasverbrauch, um zu sehen, ob der Vertrag einen Fehler ausgibt oder zu viele Approvals verlangt.

Wenig bekanntes „Red Flag“:

Achten Sie auf external calls im Constructor oder Initializer. Manchmal fügen böswillige Entwickler einen Aufruf zu einem Drittanbieter-Vertrag ein, der delegatecall auf ihr Wallet ausführt und ihnen zukünftige Kontrolle über Ihr Guthaben gibt, selbst wenn der Hauptcode sauber aussieht.

Kommen wir nun zu fortgeschritteneren Themen: Architekturschwachstellen in L2-Netzwerken, Cross-Chain-Bridges und spezifische „Fallen“ in modernen DeFi-Stacks.

6. Pathfinder-Level: Analyse von Cross-Chain-Bridges und L2-Risiken

Im Jahr 2026 nutzen die meisten Benutzer nicht mehr direkt das Ethereum Mainnet, sondern L2s (Arbitrum, Optimism, Base, ZK-Rollups) oder Bridges zwischen ihnen.

  • Einzel-Validator-Risiko: Wenn Sie eine Bridge verwenden, prüfen Sie, wer die Transaktionen validiert. Wenn es sich um Proof of Authority mit 3–5 Knoten handelt, die vom Team kontrolliert werden, ist dies ein zentraler Single Point of Failure.
  • L2 Sequencer: Bei den meisten L2s ist der Sequencer (der Knoten, der Transaktionen bündelt) noch immer zentralisiert.
    • Praktischer Tipp: Prüfen Sie, ob ein „Escape Hatch“ vorhanden ist. Wenn der Sequencer ausfällt oder Ihre Transaktionen zensiert, können Sie Ihre Mittel direkt über den L1-Vertrag abheben? Wenn es keine forceWithdraw-Funktion oder ein Äquivalent gibt, hängen Ihre Gelder von der Verfügbarkeit des Teams ab.
  • L2 State Root-Verifizierung: Bei ZK-Rollups stellen Sie sicher, dass die Proofs tatsächlich auf L1 überprüft werden. Einige Projekte deaktivieren die Verifizierung vorübergehend, um Gas zu sparen, und arbeiten im „Trust Me“-Modus.

 

7. Alchemist-Level: Liquiditätsmanipulation und AMM v4

Mit Uniswap v4 und der Einführung von Hooks ist die Prüfung von Liquiditätspools erheblich komplexer geworden.

  • Gefährliche Hooks: Ein Hook ist ein externer Smart Contract, der vor oder nach einem Swap ausgeführt wird.
    • Worauf man achten sollte: Ein bösartiger Hook kann den Verkauf eines Tokens unter bestimmten Bedingungen blockieren (dynamischer Honeypot) oder über versteckte Gebühren Liquidität stehlen, die in der Benutzeroberfläche nicht angezeigt werden.
  • Konzentrische Liquidität und JIT-Angriffe: Prüfen Sie, wie der Protokoll gegen Just-In-Time-Liquidität geschützt ist, wenn Bots direkt vor Ihrer großen Transaktion in den Pool gehen und sofort danach wieder austreten, fast Ihre gesamte Gebühr einziehen und den Slippage erhöhen.

 

8. Fortgeschrittene Code-Analyse: Mathematik und Logik

A. Precision Loss (Verlust der Genauigkeit)

Solidity unterstützt keine Fließkommazahlen. Alle Berechnungen erfolgen in Ganzzahlen. Ein Fehler in der Reihenfolge der Operationen kann zum Diebstahl von Mitteln führen.

  • Regel: Immer zuerst multiplizieren, dann dividieren.
  • Fehlerbeispiel:
// SCHLECHT: (100 / 200) * 1000 => 0 * 1000 = 0
uint256 reward = (amount / totalSupply) * totalReward; 
// GUT: (100 * 1000) / 200 => 500
uint256 reward = (amount * totalReward) / totalSupply;
  • Wenn Sie in Reward-Formeln die Division vor der Multiplikation sehen, „frisst“ der Vertrag das Geld der Nutzer.

B. Invarianten

Ein professioneller Auditor sucht immer nach der „goldenen Regel“ des Vertrags. Zum Beispiel: „Die Summe aller Nutzerkonten darf niemals die Gesamtzahl der Tokens im Storage überschreiten.“

  • Wie prüfen: Überprüfen Sie Funktionen wie withdrawAll oder emergencyWithdraw. Wenn dort keine strikte Saldo-Prüfung erfolgt oder selfdestruct verwendet wird (auch wenn dies in neuen EVM-Versionen eingeschränkt ist), ist dies ein Warnsignal.

 

9. Wenig bekannte Angriffsvektoren (Insider Info)

  • Storage Collision: Beim Upgrade von Proxy-Verträgen können Entwickler versehentlich die Reihenfolge der Variablen ändern. Dadurch kann adminAddress userBalance überschreiben.
    • Wie erkennen: Vergleichen Sie die storage layout-Dateien (falls verfügbar) der alten und neuen Vertragsversionen.
  • Signature Replay: Wenn das Protokoll Off-Chain-Signaturen verwendet (z. B. für Listings oder Gasless Voting), stellen Sie sicher, dass chainId und nonce enthalten sind. Andernfalls könnte Ihre Testnet-Signatur (z. B. Goerli) im Mainnet wiederverwendet werden und Mittel gestohlen werden.
  • Read-only Reentrancy: Die angesagteste Hack-Art der letzten Jahre. Selbst wenn Statusänderungsfunktionen geschützt sind, kann eine Lesefunktion (z. B. Preisabfrage) aufgerufen werden, bevor der Vertragszustand aktualisiert ist, und einen manipulierten Preis liefern.

 

10. Schritt-für-Schritt Handlungsplan

  1. Approve-Überprüfung: Geben Sie niemals einem neuen Protokoll ein unlimited approve. Verwenden Sie Tools wie Revoke.cash, um zu sehen, wem und wie viel Sie erlauben, auszugeben.
  2. Owner-Analyse: Fügen Sie die Vertragsadresse in Bubblemaps ein. Wenn Sie Cluster von Wallets sehen, die 80 % des Supply kontrollieren, ist das ein klassischer Rug Pull.
  3. Events lesen: Gehen Sie zum Events-Tab im Blockchain-Explorer. Achten Sie auf seltsame Aufrufe direkt nach dem Deploy. Massenüberweisungen an Mixer (z. B. Tornado Cash) markieren das Projekt als hochriskant.

Professionelles Toolkit (2026):

  • Slither: Statischer Analyzer (Python/Terminal-Kenntnisse erforderlich). Findet fehlende Prüfungen schnell.
  • Aderyn: Moderner Rust-basierter Analyzer, spezialisiert auf DeFi-Logik.
  • Tenderly: Bestes Tool zur Transaktionsvisualisierung. Ermöglicht das Debuggen jeder fehlgeschlagenen Transaktion und zeigt genau, in welcher Codezeile der Fehler auftrat.

Kommen wir nun zu den abschließenden, aber kritisch wichtigen Aspekten: der Überlebensökonomie des Protokolls und der Sicherheit der Governance. Wenn der Code das Skelett ist, dann sind Tokenomics und Governance das Nervensystem und die Muskeln des Projekts.

 

11. Level „Ökonom“: Audit von Tokenomics und versteckten Schwachstellen

Selbst perfekt geschriebener Code kann ein Projekt nicht retten, wenn das ökonomische Modell zu Hyperinflation oder einer „Todesspirale“ führt.

  • Vesting-Zeitplan: Prüfen Sie, wann frühe Investoren und das Team ihre Token erhalten.
    • Rotes Flag: Ein großer Cliff bereits einen Monat nach dem Start. Wenn der Markt dieses Volumen nicht aufnehmen kann, fällt der Preis, die Liquidität geht verloren und das Protokoll wird nutzlos (oder anfällig für Preismanipulationsangriffe).
  • Emission vs. Einnahmen: Woher kommen die Belohnungen (APY)?
    • Wenn Belohnungen in nativen Tokens des Projekts gezahlt werden, die nichts als „Versprechen“ erzeugen, ist das ein Ponzi-System.
    • Wenn das Protokoll in ETH/USDC zahlt, überprüfen Sie die Quelle. Sind das echte Transaktionsgebühren oder nur eine Umverteilung des Geldes neuer Teilnehmer?
  • Schlechte Schulden: Bei Lending-Protokollen (Aave-ähnlich) überprüfen Sie die LTV-Parameter (Loan-to-Value). Akzeptiert das Protokoll illiquide Shieldcoins mit hohem LTV als Sicherheit, könnte ein Hacker den Preis des Shieldcoins aufblähen, ETH dagegen leihen und nie zurückzahlen.

 

12. Level „Politiker“: Risiken der dezentralen Governance (DAO)

Governance-Angriffe sind in den letzten Jahren zu einem großen Problem geworden. Hacker suchen nicht mehr nach Bugs im Code – sie kaufen Stimmen.

  • Governance-Übernahme: Prüfen Sie, wie viele Tokens für eine Entscheidung benötigt werden (Quorum).
    • Angriffsszenario: Ein Hacker nimmt einen Flash Loan, kauft eine große Menge an Stimmrechts-Tokens, genehmigt sofort eine Entscheidung, alle Mittel aus der Treasury auf seine Adresse zu übertragen, und führt diese aus.
    • Schutz: Der Governance-Code sollte immer ein Snapshot enthalten (Bilanzen vor der Abstimmung festhalten) oder Tokens für die Dauer der Abstimmung sperren.
  • Verstecktes Quorum: Wenn 80 % der Tokens in 2–3 Team-Wallets liegen, ist die „Community-Abstimmung“ nur Theater. Verwenden Sie Tools zur Analyse von Token-Inhabern (z. B. Etherscan Holders Tab oder Bubblemaps).

 

13. Level „Paranoid“: Überprüfung von Frontend und Drittanbieter-Abhängigkeiten

Manchmal ist der Vertragscode sauber, aber Sie verlieren trotzdem Geld. Wie?

  • Frontend-Injektion: Hacker kompromittieren die Projekt-Website (über DNS oder bösartigen Script) und ersetzen die Vertragsadresse im „Deposit“-Button durch ihre eigene.
    • So überleben Sie: Vergleichen Sie immer die Vertragsadresse in Ihrem Wallet (MetaMask/Rabby) mit der offiziellen Adresse aus der Dokumentation oder von Coingecko.
  • Unbegrenzte Berechtigung: Wenig bekannter Punkt: Einige Protokolle fordern approve nicht nur für den Transaktionsbetrag, sondern für Ihr gesamtes Guthaben. Wenn das Protokoll ein Jahr später gehackt wird, kann der Hacker Ihr Geld abziehen, selbst wenn Sie es lange nicht mehr benutzt haben.
    • Regel: Nutzen Sie Rabby Wallet, es zeigt klar, welche Berechtigungen Sie erteilen und warnt vor riskanten Aufrufen.

 

14. Checkliste „Finaler Filter“ (Speichern)

ParameterIdealer ZustandRotes Flag
Admin-SchlüsselMultisig + Timelock (48h+)Single EOA (normales Wallet)
Audits2+ von Top-UnternehmenEin Audit von „NoName“ oder keines vorhanden
LiquiditätGesperrtAdmin kann jederzeit abheben
OracleChainlink oder TWAPDirekter Preis vom DEX (Spot Price)
UpgradefähigkeitTransparente Proxies mit AnkündigungenVersteckte Proxies ohne Update-Verzögerung
Code-ZugriffAuf Etherscan verifiziertVertragsquellcode nicht verifiziert

 

Fazit: Ihre Überlebensstrategie

Ein selbstständiges Audit bedeutet nicht, alle Bugs zu finden — es geht darum, offensichtlichen Müll und Fallen auszusortieren.

  1. Investieren Sie niemals mit dem gesamten Betrag in Protokolle, die jünger als zwei Wochen sind.
  2. Verwenden Sie für neue DeFi-Projekte eine „Sandbox“ (separates Hot Wallet).
  3. Wenn die Rendite (APY) zu gut aussieht, um wahr zu sein, dann sind Sie selbst die Liquidität.

Das war’s wohl! Ich hoffe, dieser Leitfaden hilft Ihnen, Ihr Kapital in den stürmischen Gewässern von DeFi zu schützen. Wenn der Artikel nützlich war und Sie ein bestimmtes Projekt mit dieser Methode analysieren möchten oder Fragen zu Analyse-Tools haben, hinterlassen Sie einen Kommentar. Wir antworten oder veröffentlichen einen separaten Leitfaden.

Astra EXMON
Astra EXMON

Astra is the official voice of EXMON and the editorial collective dedicated to bringing you the most timely and accurate information from the crypto market. Astra represents the combined expertise of our internal analysts, product managers, and blockchain engineers.

...

Leave a comment

Your email address will not be published. Required fields are marked *

Krypto-Börsenakademie Krypto-Börsenakademie

Wahre Freiheit beginnt mit persönlicher Sicherheit und Anonymität. Kryptowährung: Ihre Waffe gegen finanzielle Kontrolle.

Tag Clouds

#trading #security #anonymität #blockchain #anonymous
Your experience on this site will be improved by allowing cookies.