DeFi-Protokoll gehackt — wie schützt ihr euer Kapital bei Uniswap & Co. wirklich?

[Kapitalanleger_Kurt]

Guten Tag zusammen, ich verfolge die Entwicklungen im DeFi-Bereich seit einiger Zeit mit wachsender Sorge. Heute morgen habe ich wieder einen Bericht gelesen — ein weiteres Protokoll wurde gehackt, diesmal angeblich über einen sogenannten Reentrancy-Exploit. Verlust: knapp 18 Millionen Dollar. Die Nutzer stehen natürlich mit leeren Händen da. Ich selbst habe einen kleineren Betrag in Liquiditätspools bei Uniswap und gelegentlich auch bei Aave. Als jemand, der sein Berufsleben lang mit Risikomanagement zu tun hatte, beschleicht mich dabei ein ungutes Gefühl. Im traditionellen Finanzbereich gibt es Einlagensicherung, BaFin-Aufsicht, Prospektpflichten. Im DeFi-Bereich? Nichts davon. Meine Fragen an die erfahrenen Nutzer hier: - Wie begrenzt ihr konkret euer Exposure pro Protokoll? - Nutzt ihr Versicherungsprodukte wie Nexus Mutual oder InsurAce? - Wie bewertet ihr die Sicherheit von Protokollen vor einer Einlage? - Gibt es Warnsignale, auf die ihr besonders achtet? Ich bitte um sachliche Erfahrungsberichte. Meinungen willkommen, solange sie begründet sind. Mit freundlichen Grüßen, Kurt

[ETF_Schweizerin_Eva]

Hallo Kurt, gute Fragen — und leider brandaktuell. Ich mache das seit etwa drei Jahren und habe mir ein paar Regeln auferlegt, die ich konsequent einhalte: - Nie mehr als 5% des Gesamtportfolios in einem einzigen DeFi-Protokoll. Klingt banal, aber die meisten Leute, die ich kenne, haben das bei ihrem ersten Bullenmarkt-Enthusiasmus vergessen. - Nur Protokolle mit mehrfachen unabhängigen Audits — Trail of Bits, OpenZeppelin, Certik. Wobei: Audits sind kein Freifahrtschein. Auch auditierte Protokolle wurden schon gehackt. - Time-in-market als Proxy: Protokolle, die seit mindestens zwei Jahren ohne größeren Vorfall laufen, bevorzuge ich. Uniswap v2 und v3 haben sich da bewährt, Aave ebenfalls. Zu Nexus Mutual: Ich habe es einmal genutzt, die Prämien sind aber nicht gerade günstig und die Deckung hat Lücken, die man vorher genau lesen muss. Für größere Summen trotzdem überlegenswert. Was ich grundsätzlich meide: neue Protokolle mit astronomischen APY-Versprechen. 200% Rendite sind kein Angebot, das ist ein Warnsignal.

[WochenmarktWanda]

oha Kurt, willkommen in der wilden Welt des DeFi ? ich sag mal so: ich hab vor zwei Jahren beim Ronin-Hack fast 800€ verloren, weil ich dachte 'ach, das Protokoll ist ja bekannt'. War ne teure Lehre ? seitdem mach ich das so: Hardware Wallet immer (Ledger), und ich revoke meine Token-Approvals regelmäßig über revoke.cash — das ist echt wichtig und die meisten checken das gar nicht! wenn du mal irgendwo connected hast, bleibt die Berechtigung bestehen bis du sie manuell wegnimmst. da können böse Leute später noch drauf zugreifen auch wenn du längst weg bist ? und bitte bitte nie mehr als du verlieren kannst. klingt dumm aber ich mein das ernst.

[ImmoRenten_Irene_S]

Ich lese hier mit und möchte eine etwas andere Perspektive einbringen. Ich bin ehrlich gesagt skeptisch, ob DeFi für jemanden mit deinem Profil, Kurt, überhaupt das richtige Instrument ist — nicht herablassend gemeint, sondern pragmatisch. Du hast offenbar ein solides Vermögen aufgebaut, das schützenswert ist. DeFi bringt Risiken mit sich, die sich fundamental von allem unterscheiden, was regulierte Finanzmärkte bieten. Selbst wenn man alle technischen Vorsichtsmaßnahmen trifft: Oracle-Manipulationen, Flash-Loan-Angriffe, Governance-Exploits — das sind Angriffsvektoren, gegen die kein einzelner Nutzer wirklich gefeit ist. Das ist kein Pessimismus, das steht so in jedem seriösen Post-Mortem-Bericht. Wer trotzdem dabei sein will: Die Empfehlung mit den Token-Approvals von Wanda oben ist absolut richtig. Und ich würde ergänzen: getrennte Wallets für verschiedene Protokolle. Nie alles unter einer Adresse.

[TeilzeitTanja_Freiburg]

oh man, dieses Thema ? ich hab letztes Jahr auch gezittert als der Curve-Pool-Hack rauskam, hatte da zum Glück nix drin ich nutz eigentlich nur noch Uniswap und auch nur mit kleinen Beträgen die ich 'verschmerzen' kann. mein Mann meint ich soll das alles lassen aber naja ? was ich noch machen: ich guck immer auf DeFi Llama ob das TVL (Total Value Locked) stabil ist oder komisch schwankt. wenn da plötzlich massiv Geld rausfließt, ist meistens was faul. hab das einmal rechtzeitig gecheckt und meine Kohle noch retten können bevor es gekracht hat ✌️ und den Tip mit revoke.cash von Wanda kann ich nur unterstreichen, das war mir auch neu als ichs gelernt hab!

[FreistellungsauftragFred]

Ich möchte das Thema um eine steuerliche Komponente ergänzen, die in solchen Diskussionen fast immer fehlt. Wenn ein DeFi-Protokoll gehackt wird und man Verluste erleidet, ist die steuerliche Behandlung in Deutschland nach wie vor ungeklärt. Das BMF-Schreiben vom Juni 2021 adressiert DeFi nur oberflächlich. Verluste aus Hacks werden von vielen Finanzämtern nicht als realisierte Verluste anerkannt, weil kein 'Veräußerungsvorgang' stattgefunden hat. Man sitzt also auf einem wirtschaftlichen Verlust, den man steuerlich nicht geltend machen kann. Das ist ein weiterer Grund, warum ich Kapital in DeFi-Protokollen grundsätzlich nur als 'Risikokapital ohne steuerliches Netz' betrachte. Wer das nicht einkalkuliert, wird im Schadensfall doppelt enttäuscht. Zur eigentlichen Frage: Diversifikation über mehrere Protokolle, strikte Positionsgrenzen, und niemals Protokolle unter 12 Monaten Laufzeit ohne sehr tiefe eigene Prüfung. Audits sind notwendig aber nicht hinreichend.

[Mod_Clemens_Finanzen]

Guter Thread, ich fasse mal kurz zusammen was bisher genannt wurde — und ergänze ein paar Punkte aus journalistischer Sicht. Was hier schon gut gesagt wurde: - Token-Approvals regelmäßig entziehen (revoke.cash) - Positionsgrenzen pro Protokoll (~5%) - Nur Protokolle mit langer Laufzeit und mehrfachen Audits - TVL-Monitoring via DeFi Llama - Getrennte Wallets Was ich ergänzen möchte: Der Punkt von Fred zur Steuer ist unterschätzt. Ich habe dazu vor kurzem mit einem spezialisierten Steuerberater gesprochen — die Rechtslage ist tatsächlich nebulös und variiert je nach Sachbearbeiter beim Finanzamt. Wer größere Summen im DeFi hat, sollte das professionell begleiten lassen. Außerdem: Governance-Risiken werden oft vergessen. Protokolle können durch Abstimmungen verändert werden — auch zu Ungunsten der Nutzer. Das ist kein Hack im technischen Sinne, aber effektiv dasselbe Ergebnis. Compound und MakerDAO hatten da schon interessante Momente. Und Kurt: Deine Skepsis ist berechtigt. DeFi ist kein Sparkonto-Ersatz.

[Kapitalanleger_Kurt]

Ich bedanke mich herzlich bei allen für die sachlichen und konkreten Beiträge. Besonders der Hinweis von Fred zur steuerlichen Nicht-Anerkennung von Hack-Verlusten hat mich aufhorchen lassen — das war mir in dieser Konsequenz nicht bewusst. Das ändert die Risikorechnung erheblich. Ich werde meine Positionen überprüfen und die Token-Approvals — dieser Begriff war mir bis heute nicht geläufig — umgehend bereinigen. Revoke.cash habe ich mir bereits angesehen. Irenes Einschätzung zur Eignung für mein Profil nehme ich ernst. Vielleicht ist ein deutlich kleinerer Testbetrag der ehrlichere Umgang mit dem eigenen Risikoprofil. Danke nochmals an alle.