Web3-Security 2026: Das Problem liegt im Design
Web3 gilt als besonders sicher, weil alles transparent ist und der Code exakt das ausführt, was definiert wurde. Doch genau darin liegt eine zentrale Schwäche: Systeme können technisch korrekt funktionieren – und trotzdem grosse Schäden verursachen. Der aktuelle Bericht der Crypto Valley Association zeigt, dass die grössten Risiken heute nicht mehr primär in klassischen Codefehlern liegen, sondern in falschen Annahmen im Systemdesign. Anders gesagt: Das Problem ist nicht, dass der Code falsch läuft, sondern dass er auf einer fehlerhaften Logik basiert.
Das wird in mehreren aktuellen Fällen deutlich. Bei Makina Finance (DeFi-Protokoll mit anfälligen Preisfeeds) wurden Preise mithilfe von Flash Loans (kurzfristige, unbesicherte Kredite) kurzfristig manipuliert. Das Protokoll übernahm diese verzerrten Werte direkt, wodurch ein falscher Marktpreis zur Realität wurde – mit Millionenverlusten. Ähnlich bei Venus Protocol: Ein illiquider Vermögenswert wurde künstlich im Preis erhöht und als Sicherheit genutzt. Als sich der Preis normalisierte, blieb das System auf Verlusten sitzen. In beiden Fällen funktionierte der Code einwandfrei, aber die Annahmen über Preise und Sicherheiten waren zu schwach.
Auch Step Finance (DeFi-Tool zur Portfolio- und Transaktionsanalyse) zeigt diese Problematik. Dort konnten Angreifer Transaktionen erstellen, die formal korrekt waren, aber die Eigentumslogik umgingen. Das System prüfte nicht ausreichend, wem Assets (digitale Vermögenswerte wie Tokens) tatsächlich gehören.
Bei Solv Protocol (DeFi-Protokoll für strukturierte Finanzprodukte) wiederum führte ein Fehler in der Minting-Logik (Regeln zur Erstellung neuer Tokens) dazu, dass ungedeckte Werte erzeugt wurden – ein besonders kritisches Problem bei synthetischen Assets (künstlich abgebildete Vermögenswerte ohne direkte Hinterlegung).
Die wichtigste Lehre daraus: Sicherheit beginnt lange vor dem Launch. Unsichere Standardeinstellungen, offene Admin-Funktionen oder fehlende Limits sind keine Nebensächlichkeiten, sondern zentrale Risiken.
Für Builder, Investoren und Betreiber bedeutet das ein Umdenken. Die grösste Angriffsfläche sind nicht mehr nur Bugs im Code, sondern Annahmen über Preise, Sicherheiten, Eigentum und Systemverhalten. Oder einfacher gesagt: Ein System ist nicht sicher, nur weil es technisch funktioniert.