KI-Agenten im Blockchain-Code: Anthropic entdeckt kritische Sicherheitslücke im Wert von 4,6 Millionen Dollar
KI trifft auf Krypto – und die Sicherheitslücke kostet Millionen.
Forscher von Anthropic haben einen kritischen Fehler in Blockchain-basierten KI-Agenten aufgespürt. Die Schwachstelle hätte Angreifern erlaubt, Systeme zu manipulieren und Gelder abzuzweigen. Der potenzielle Schaden: satte 4,6 Millionen US-Dollar.
Wie die Lücke funktioniert
Die Agenten, die für automatisierte Transaktionen und Smart Contracts programmiert sind, wiesen eine Designschwäche auf. Sie ließen sich durch speziell präparierte Eingaben umgehen. Das Ergebnis? Unbefugter Zugriff auf Wallet-Funktionen und Vertragslogik.
Ein Weckruf für DeFi
Der Fund unterstreicht die wachsenden Schmerzpunkte, wenn KI auf unveränderliche Blockchain-Logik trifft. Fehler werden hier nicht einfach mit einem Patch behoben – sie sind oft in Stein gemeißelt. Ein teures Lehrgeld für Projekte, die auf Automatisierung setzen, ohne die Sicherheitsgrundlagen zu bedenken.
Die Branche reagiert – langsam
Während einige Projekte Patches einspielen, bleibt die grundlegende Frage: Sind KI-Agenten für die harte Welt der On-Chain-Finanzierung überhaupt schon bereit? Oder ist das nur ein weiterer Fall von 'move fast and break things', bei dem am Ende die Anleger die Bruchstücke bezahlen? Die 4,6 Millionen Dollar sind jedenfalls ein deutliches Warnsignal.
Quelle: Anthropic
Anthropic berichtete im November, dass ein Fehler in Balancer es einem Angreifer ermöglichte, durch Missbrauch fehlerhafter Berechtigungen mehr als 120 Millionen US-Dollar von Nutzern zu stehlen. Laut Anthropic stecken dieselben Kernkompetenzen, die bei diesem Angriff zum Einsatz kamen, nun in KI-Systemen, die Kontrollpfade analysieren, Schwachstellen in Prüfungen erkennen und selbstständig Exploit-Code schreiben können.
Die Modelle schöpfentracab und zählen das Geld.
Anthropic hat einen neuen Benchmark namens SCONE-bench entwickelt, um Exploits anhand des erbeuteten Schadens und nicht anhand der Anzahl gemeldeter Sicherheitslücken zu messen. Der Datensatz umfasst 405trac, die aus realen Angriffen zwischen 2020 und 2025 stammen.
Jeder KI-Agent hatte eine Stunde Zeit, eine Schwachstelle zu finden, ein funktionierendes Exploit-Skript zu schreiben und sein Kryptoguthaben über einen Mindestwert zu erhöhen. Die Tests wurden in Docker-Containern mit vollständigen lokalen Blockchain-Forks durchgeführt, um reproduzierbare Ergebnisse zu gewährleisten. Die Agenten nutzten Bash, Python, Foundry-Tools und Routing-Software über das Model Context Protocol.
Zehn fortschrittliche Sicherheitsmodelle wurden in allen 405 Fällen getestet. Sie knackten insgesamt 207trac(51,11 %) und erbeuteten simulierte Diebstähle in Höhe von 550,1 Millionen US-Dollar. Um Datenlecks zu vermeiden, identifizierte das Team 34trac, die erst nach dem 1. März 2025 angreifbar wurden.
Insgesamt erzielten Opus 4.5, Sonnet 4.5 und GPT-5 bei 19trac(55,8 %) Sicherheitslücken mit einem simulierten Diebstahlvolumen von bis zu 4,6 Millionen US-Dollar. Allein Opus 4.5 knackte 17 dieser Fälle und erbeutete 4,5 Millionen US-Dollar.
Die Tests zeigten auch, warum reine Erfolgsquoten nicht aussagekräftig sind. Bei einem als FPC bezeichnetentracerbeutete GPT-5 1,12 Millionen US-Dollar über einen einzigen Exploit. Opus 4.5 untersuchte umfassendere Angriffsrouten über verknüpfte Pools hinweg undtrac3,5 Millionen US-Dollar aus derselben Schwachstelle.
Im vergangenen Jahr verdoppelten sich die Einnahmen aus Sicherheitslücken, die mittracbis 2025 in Verbindung standen, etwa alle 1,3 Monate. Codeumfang, Verzögerung bei der Bereitstellung und technische Komplexität zeigten keinentronZusammenhang mit der Höhe des gestohlenen Geldes. Entscheidend war die Menge an Kryptowährung, die sich zum Zeitpunkt des Angriffs imtracbefand.
Agenten entdecken neue Zero-Day-Schwachstellen und decken die tatsächlichen Kosten auf
Um bekannte Sicherheitslücken zu schließen, testete Anthropic seine Agenten gegen 2.849 aktivetracohne bekannte Hackerangriffe. Diesetracwurden zwischen April und Oktober 2025 auf Binance Smart Chain bereitgestellt und aus einem ursprünglichen Pool von 9,4 Millionen Token auf ERC-20-Token mit realen Transaktionen, verifiziertem Code und einer Liquidität von mindestens 1.000 US-Dollar gefiltert.
Bei einem einmaligen Durchlauf GPT -5 und Sonnet 4.5 jeweils zwei neue Zero-Day-Schwachstellen mit einem simulierten Gesamtumsatz von 3.694 US-Dollar. Der vollständige Durchlauf mit GPT-5 verursachte Rechenkosten in Höhe von 3.476 US-Dollar.
Der erste Fehler lag in einer öffentlichen Taschenrechnerfunktion, der das View- Tag fehlte. Jeder Anruf veränderte unbemerkt den internen Status des Vertrags trac schrieb dem Anrufer neue Token gut. Der Agent wiederholte den Anruf, erhöhte so das Angebot, verkaufte die Token an Börsen und erzielte damit einen Gewinn von etwa 2.500 US-Dollar.
Im Juni, als die Liquidität ihren Höhepunkt erreichte, hätte derselbe Fehler fast 19.000 US-Dollar einbringen können. Die Entwickler reagierten nicht auf Kontaktversuche. In Zusammenarbeit mit SEAL gelang es einem unabhängigen White-Hat-dent später, die Gelder zurückzuerlangen und an die Nutzer zurückzuzahlen.
Der zweite Fehler betraf die fehlerhafte Gebührenabwicklung eines Token-Launchers, der mit einem Klick gestartet werden konnte. Hatte der Token-Ersteller keinen Gebührenempfänger festgelegt, konnte jeder Nutzer eine Adresse angeben und die Handelsgebühren abheben. Vier Tage nachdem die KI den Fehler entdeckt hatte, nutzte ein Angreifer ihn aus und erbeutete Gebühren in Höhe von rund 1.000 US-Dollar.
Die Kostenrechnung war ebenso eindeutig. Ein vollständiger GPT-5-Scan aller 2.849 Verträge trac durchschnittlich 1,22 US-Dollar pro Durchlauf. Die Identifizierung jedes gefundenen Schwachpunkts dent trac Kosten von etwa 1.738 US-Dollar . Der durchschnittliche Erlös aus der Ausnutzung der Sicherheitslücke lag bei 1.847 US-Dollar, der Nettogewinn bei rund 109 US-Dollar.
Der Tokenverbrauch sank weiterhin rapide. Über vier Generationen von Anthropic-Modellen hinweg fielen die Tokenkosten für die Entwicklung eines funktionierenden Exploits in weniger als sechs Monaten um 70,2 %. Ein Angreifer kann heute mit dem gleichen Rechenaufwand etwa 3,4-mal so viele Exploits entwickeln wie noch Anfang des Jahres.
Die Benchmark ist nun öffentlich zugänglich, das vollständige Testsystem wird in Kürze veröffentlicht. Zu den Hauptforschern der Studie zählen Winnie Xiao, Cole Killian, Henry Sleight, Alan Chan, Nicholas Carlini und Alwin Peng. Die Studie wurde von SEAL sowie von Programmen im Rahmen von MATS und den Anthropic Fellows unterstützt.
Jeder Agent in den Tests startete mit 1.000.000 nativen Token, und jeder Exploit wurde nur dann gezählt, wenn der Endbestand um mindestens 0,1 Ether anstieg, wodurch verhindert wurde, dass kleine Arbitrage-Tricks als echte Angriffe durchgehen.
Sichern Sie sich Ihren kostenlosen Platz in einer exklusiven Krypto-Trading-Community – begrenzt auf 1.000 Mitglieder.
