Solana verliert weniger durch Hacks als konkurrierende Netzwerke: Certora erklärt, warum

Während Blockchain-Befürworter ein unglaubliches Jahr für die Branche feiern, haben ruchlose Akteure in diesem Bereich ihre eigene Hausse genossen.

Analysten berichten, dass das Jahr 2025 ein Rekordjahr für bösartige Machenschaften war. Allein in der ersten Jahreshälfte stahlen bösartige Akteure über 1,93 Milliarden Dollar an kryptobezogenen Straftaten und stellten damit den Betrag in den Schatten, der im gesamten Jahr 2024 durch Hacks und Betrug verloren ging.

Aber trotz des beispiellosen Ausmaßes an Bösartigkeit in der Kryptowelt ist Solana, zumindest technisch, durchschlagend sicher geblieben. Während EVM-Netzwerke im Jahr 2025 Hacks im Wert von über 220 Mio. US-Dollar ausgesetzt waren, sind Solana-basierte Anwendungen mit einem Verlust von ~18 Mio. US-Dollar durch Exploits zu diesem Zeitpunkt des Jahres weitgehend unversehrt geblieben.

In einem exklusiven Gespräch mit Seth Hallem, dem CEO von Certora, einem führenden Blockchain-Sicherheitsunternehmen, ging SolanaFloor den Details auf den Grund, um dieser enormen Diskrepanz auf den Grund zu gehen und herauszufinden, ob Solana wirklich von Natur aus ein sicherer Raum ist.

Warum leidet Solana unter weniger Hacks als EVM?

Ein Blick auf DefiLlama’s Hack-Liste zeichnet ein unglückliches Bild. Ein Blick auf die Krypto-Exploits eines Monats zeigt, dass EVM-Ketten stark überrepräsentiert sind, insbesondere im Vergleich zu Solana und den benachbarten SVMs. Außerdem ist es erwähnenswert, dass der Texture-Hack von Solana im Juli einer von nur 3 Exploits im Netzwerk war, verglichen mit Dutzenden von EVM-basierten Ketten.

Während Börsenhacks wie der 1,4 Milliarden Dollar teure ByBit-Exploit immer wieder zu den größten und schädlichsten Sicherheitsvorfällen zählen, sind Fehler in der Protokolllogik die mit Abstand am häufigsten von böswilligen Akteuren ausgenutzten Schwachstellen.

Hallem führt Solana’s dramatisch niedrigeres Hack- und Exploit-Volumen auf Solana’s inhärente Programmierarchitektur zurück. Durch die Verwendung von Rust im Gegensatz zu kryptoexklusiven Sprachen wie Solidity ist die Solana-Programmierung ein zugänglicheres und kampferprobtes Lego-Set als das, was EVM-Entwickler verwenden müssen.

“Solana-Verträge basieren auf Rust, einer Programmiersprache, die viel weiter verbreitet und vertrauter ist als Solidity. Jedes Mal, wenn ein Entwickler eine Lernkurve durchläuft, muss er einen völlig neuen Satz von Sicherheitsregeln und -praktiken erlernen… Solana wurde von Anfang an mit Konzepten wie Wiederverwendbarkeit und Erweiterbarkeit im Hinterkopf entwickelt. Dies ermöglicht es Entwicklern, auf eine ständig wachsende Bibliothek von Bausteinen aufzubauen. Je mehr Sie die Funktionalität zentralisieren und wiederverwenden können, desto mehr Möglichkeiten haben Sie, einmalig zum Nutzen der gesamten Gemeinschaft stark in die Sicherheit zu investieren.

Außerdem wies Hallem darauf hin, dass die EVM-Landschaft mit einem dramatisch größeren Netzwerk einen weitaus fruchtbareren Boden für die ruchlosen Schurken der dunklen Schattenseiten der Kryptowährungen bietet. Ethereum’s TVL ist ~595% größer als Solana’s, wenn man Layer-2s abzieht.

“EVM-Ketten bleiben ein größeres und profitableres Ziel - mit dem Wachstum von Solana wird auch die Zahl der Angriffe auf Solana-Ketten steigen.”

Während Hallem jedoch zu Recht darauf hinweist, dass die Angriffsfläche von Ethereum deutlich größer ist, ist das Hackvolumen von Solana immer noch verhältnismäßig kleiner. Ethereum’s 2025 Hackvolumen entspricht einem Anteil von 0,22% seiner TVL, verglichen mit 0,12% bei Solana.

When You Can’t Verify, Who Can You Trust?

Trotz seiner Position als Markenzeichen des grundlegenden Ethos der Kryptowährung ist die Selbstvergewisserung so etwas wie ein zweischneidiges Schwert. Die Onchain-Wirtschaft mag ein reichhaltiger finanzieller Spielplatz mit grenzenlosen Möglichkeiten sein, aber alles, was es braucht, ist ein falscher Link-Klick oder eine ahnungslose Vertragsinteraktion, um die Nutzer mit nichts zurückzulassen.

>

Krypto-Befürworter predigen das “don’don’t trust, verify” Mantra bis zum Überdruss, aber die Realität ist, dass die überwiegende Mehrheit der Blockchain-Nutzer nicht in der Lage ist, Onchain- und Open-Source-Verträge zu analysieren. 

“Don’t trust, verify” ist auf Solana vielleicht noch überflüssiger, da die meisten Anwendungen mit Closed-Source-Protokollen arbeiten. Dies bringt die Benutzer in eine heikle Lage: Wenn man nicht in der Lage ist, etwas zu überprüfen, wie kann man dann überhaupt vertrauen?

“Der durchschnittliche Endnutzer gewinnt wenig durch die Analyse eines Rust-Vertrags, aber er sollte darauf achten, wer die vertrauenswürdigen Prüfer in diesem Bereich sind, wer jedes Solana-Programm, das er zu verwenden beabsichtigt, geprüft hat und was der Prüfer über dieses Programm zu sagen hatte.”

Das ist der Punkt, an dem sich seriöse Sicherheitsfirmen wie Certora profilieren und sich als die unbesungenen Helden der Onchain-Wirtschaft profilieren. Hallem vergleicht Blockchain-Sicherheitsauditoren mit den Fachanwälten der Web2-Welt, die dafür verantwortlich sind, die unglaublich komplizierten Details von Onchain-Verträgen zu abstrahieren, potenzielle Schwachstellen aufzuzeigen und mit Entwicklerteams zusammenzuarbeiten, um Angriffsvektoren zu flicken.

“Sicherheit auf der Kette ist eine Billionen-Dollar-Frage, und sie ist letztlich der Grund, warum es Unternehmen wie Certora gibt. Der beste Weg, darüber nachzudenken, ist, das Web3-Ethos "Code ist Gesetz" zu nehmen und es analog anzuwenden. Die meisten von uns haben weder das Fachwissen noch die Geduld, jedes vom US-Kongress verabschiedete Gesetz zu lesen. Stattdessen verlassen wir uns auf Sekundärquellen, die leichter zugänglich sind - Nachrichtenartikel, die für uns relevante Gesetze erklären, und im Zweifelsfall Anwälte, die sich auf die Auslegung von Gesetzen spezialisiert haben. In der Web3-Welt ist das nicht anders - Wirtschaftsprüfungsgesellschaften wie Certora fungieren als Vermittler, die mit den Entwicklern zusammenarbeiten, um die Sicherheit zu gewährleisten, aber auch als Vertrauensperson für die Endnutzergemeinschaft.

Als einer der zuverlässigsten Prüfer von Solana ist Certora unbestreitbar einer der beliebtesten “Dolmetscher des Vertrauens” im Netz.

Solana’s DeFi-Giganten, darunter Plattformen wie Jito und Kamino, die mehrere Milliarden an TVL halten, wenden sich routinemäßig an Certora für Sicherheitsaudits, um die Sicherheit ihrer Nutzer’ zu gewährleisten. Bis August 2025 hat Certora über 9 Mrd. $ an Geldern auf Solana gesichert, eine Zahl, die in den letzten Wochen nach dem jüngsten Kursanstieg von $SOL wahrscheinlich noch gestiegen ist.

Den Hackern einen Schritt voraus

Blockchain-Sicherheit ist ein heikles Katz-und-Maus-Spiel. Hacker entwickeln ständig neue Angriffsvektoren und -strategien, was bedeutet, dass selbst Anwendungen, die als ‘sicher’ gelten können, mit neuen Exploit-Trends Schritt halten müssen. 

Hallem behauptet, dass Certora’s Audit-Ansatz einen zweigleisigen Ansatz verfolgt. Durch die Kombination von Certoras erfahrenem Auditorenteam und Technologien wie formalen Verifizierungstools schützt das Unternehmen mit seiner proaktiven Haltung sowohl die Anwendungen als auch die Benutzer.

“Die Stärke von Certora als Wirtschaftsprüfer beruht auf zwei wichtigen Säulen: Menschen und Technologie. Menschen stehen an erster Stelle, und wir sind stolz darauf, eine talentierte Gruppe von web3-Sicherheitsexperten zusammenzustellen und ihnen ein Umfeld zu bieten, das sie zu Höchstleistungen anspornt. Um unsere Teams in die Lage zu versetzen, erfolgreich zu sein, setzen wir immer mindestens zwei Prüfer für ein Projekt ein, und wir sind ständig dabei, unser Prüfungsverfahren zu erneuern."

Neben der Zuweisung mehrerer Auditoren für jedes Projekt setzt Certora auch leistungsstarke Sicherheitstools ein, um Schwachstellen zu identifizieren.

“Technologie ist die zweite Säule unserer Arbeit - wir entwickeln innovative, branchenführende Tools, die wir nutzen, um Schwachstellen in intelligenten Verträgen zu finden und zunehmend auch, um unsere Prüfer zu den verdächtigen Bereichen eines Vertrags zu führen, die weitere Untersuchungen erfordern.”

Formale Verifizierungsstacks wie der firmeneigene Certora Prover vergleichen den Bytecode von Smart Contracts mit dem erwarteten Verhalten des Codes und analysieren die Vertragszustände und -pfade, um potenzielle Angriffsvektoren aufzuzeigen.

“Auch Angreifer sind innovativ, und um zu versuchen, ihnen voraus zu sein, verfolgen wir zwei unterschiedliche Wege. Der erste besteht darin, dafür zu sorgen, dass wir immer über die neuesten Angriffsvektoren informiert sind und wissen, wie sich diese Vektoren auf unsere Kunden auswirken können, aber das ist letztlich eine reaktive Perspektive. Der zweite Weg ist die Verwendung der formalen Verifizierung, der Kerntechnologie von Certora, um mathematisch zu garantieren, dass es keine ganzen Kategorien von Fehlern gibt, die einen Vertrag angreifbar machen können.”

Die formale Verifizierung wird von führenden Sicherheitsexperten bei Solana, darunter Kamino-Gründer Marius Ciubotariu und natürlich Solana Labs-Gründer Anatoly Yakovenko, befürwortet.

Haftung des Wirtschaftsprüfers

Eines der größten Missverständnisse im Kryptobereich ist die Vorstellung, dass geprüfte Protokolle unangreifbar für Angriffe sind. Die unangenehme Realität ist, dass Blockchain-Sicherheitsprüfungen keineswegs eine Garantie dafür sind, dass bestimmte Protokolle und Anwendungen sicher sind.

Stattdessen sollten Krypto-Einwohner Audits als echte, ehrliche Bemühungen von Experten betrachten, die Menschen so gut wie möglich zu schützen. Hallem ist der Meinung, dass, wenn ein geprüftes Protokoll gehackt wird, die Verantwortung und Haftung für die Ausnutzung letztlich bei der Anwendung und nicht beim Prüfer liegt.

“Wirtschaftsprüfer spielen eine Schlüsselrolle beim Aufbau des Vertrauens in das web3-Ökosystem, und in dieser Position ist der Ruf einer Wirtschaftsprüfungsgesellschaft von größter Bedeutung. Ähnlich wie bei einem Steuerprüfer geht es meiner Meinung nach bei der Haftung eines Prüfers nicht darum, ob ein Protokoll gehackt wird oder nicht, sondern darum, ob der Prüfer ehrlich ist oder nicht. Viele Unternehmen haben erfolgreich Steuervergünstigungen und andere illegale Manöver vor ihren Steuerprüfern verborgen, und solange der Prüfer sich in gutem Glauben um eine gründliche und vollständige Prüfung bemüht hat, liegt die Verantwortung für diese Entscheidungen beim Unternehmen, nicht beim Prüfer. Im web3-Bereich fühlen wir uns in ähnlicher Weise verpflichtet, den Code unserer Kunden gründlich zu analysieren und einen ehrlichen Bericht über unsere Erkenntnisse zu erstellen. Allerdings sind wir immer noch nur Berater unserer Kunden - wir haben nicht die volle Kontrolle über ihre Entscheidungen, welche Software wie veröffentlicht werden soll - und angesichts der Art unserer Arbeit ist unsere Arbeit immer unvollständig - Angreifer sind innovativ, und Schwachstellen beruhen zunehmend auf Interaktionen, die über den von uns geprüften Code hinausgehen.”

Web2-Vergleiche beiseite, macht Hallem eine treffende Beobachtung über die Rolle von Blockchain-Prüfern in einer Branche, die gerne die Schuldzuweisung spielt. Trotz aller Fortschritte in der Blockchain-Branche müssen die Teilnehmer kritisch, wachsam und objektiv bleiben, ohne Anwendungen und Sicherheitsunternehmen blind zu vertrauen.

“Die wirkliche Antwort auf die web3-Sicherheit liegt weit jenseits des Audits als einzelner Fehlerpunkt - die Branche braucht eine breitere, umfassendere Lösung für die Sicherheitsherausforderungen in web3, und als Unternehmen zielt Certora darauf ab, dieses breitere Bild zu liefern. Schwachstellen in intelligenten Verträgen werden nicht verschwinden, aber wir können von anderen Branchen lernen, in denen eine Kombination von Technologien und einer "Defense in Depth"-Mentalität zu einem mehrschichtigen Ansatz geführt hat, der es uns ermöglicht, uns bei unseren Online-Interaktionen sicher zu fühlen. Das Gleiche kann und sollte auch für web3 gelten, wenn die Branche reift.

Krypto wird wahrscheinlich, zumindest für die absehbare Zukunft, der wilde Westen der Finanzen bleiben. Solange die Onchain-Wirtschaft weiterhin einen fruchtbaren Boden für Exploits und erlaubnisfreies Geld bietet, wird der Raum weiterhin von ruchlosen und extraktiven Akteuren heimgesucht werden. 

Aber so wie es weiterhin schlechte Akteure geben wird, so gibt es auch gute Akteure, die ein Gegengewicht bilden. Sicherheitsfirmen wie Certora sind zwar keine Garantie für absolute Sicherheit, aber wohl der beste Schutz vor bösem Spiel.

Lesen Sie mehr über SolanaFloor

Warum braucht Star Atlas einen eigenen Layer-1?

Hier’s alles, was Sie vom Star Atlas Sommer verpasst haben könnten

SolanaFloor unterhält sich mit Star Atlas CEO Michael Wagner