CertiK-Audit: Einblick in den größten Web3-Sicherheitsprüfer
Der Hinweis „Von CertiK geprüft“ prangt auf den Landingpages von Tokens wie ein Sicherheitsaufkleber auf einem Kindersitz. Er soll signalisieren: Jemand hat das geprüft, Sie können beruhigt sein. CertiK ist der bekannteste Name im Bereich Web3-Sicherheit, und für viele Investoren ist das Siegel zum Synonym für „wahrscheinlich sicher“ geworden. Das Problem ist nur: Mehrere Projekte, die es tragen, haben trotzdem Millionen verloren. Was bringt ein CertiK-Audit also tatsächlich? Dieser Artikel erklärt, was CertiK ist, wie die Audits und der Skynet-Score funktionieren, wo sie hilfreich sind und wo das Siegel an Aussagekraft verliert.
Wer ist CertiK und warum dominiert es die Web3-Sicherheit?
CertiK hat die Prüfung von Smart Contracts nicht erfunden, sondern industrialisiert. Das Unternehmen hat einen langsamen, handwerklichen Prozess, der von einer Handvoll Kryptographen durchgeführt wurde, in eine Marke verwandelt, die Projekte erwerben, präsentieren und auf die sie verweisen können, wenn Investoren nach der Sicherheit des Codes fragen.
Vom Yale-Labor zum 2-Milliarden-Dollar-Unternehmen
Zwei Informatikprofessoren, Ronghui Gu von der Columbia University und Zhong Shao von der Yale University, gründeten das Unternehmen 2018. Ihr Ansatz war akademisch, fast schon eigensinnig. Mithilfe formaler Verifikation, einer mathematischen Methode zum Nachweis der korrekten Funktionsweise von Software, sollte Blockchain-Code nachweislich korrekt und nicht nur „getestet“ sein. Eine Nischenidee. Trotzdem zog sie beträchtliche Summen an. Laut TechCrunch hatte CertiK bis April 2022 rund 88 Millionen US-Dollar bei einer Bewertung von 2 Milliarden US-Dollar eingesammelt. Zu den Investoren zählten Goldman Sachs, Tiger Global, Sequoia und SoftBanks Vision Fund. Neun Finanzierungsrunden mit insgesamt rund 296 Millionen US-Dollar. Nicht schlecht für zwei Akademiker, die ursprünglich Theoreme über Compiler bewiesen hatten.
Was der „größte Wirtschaftsprüfer“ wirklich misst
Die Zahlen von CertiK sprechen für sich: Mehr als 6.100 geprüfte Projekte, über 91.000 aufgedeckte Schwachstellen und geprüfte Vermögenswerte im Wert von über 360 Milliarden US-Dollar. Zu den Kunden zählen Unternehmen wie Aave, Polygon und BNB Chain. Die Größenordnung ist beeindruckend. Doch genau darin liegt auch der Haken: „Größtes Unternehmen“ misst die Anzahl der durchgeführten Prüfungen, nicht deren Tiefe. Eine Firma, die mehr Berichte erstellt als alle anderen, mag zwar beeindruckend sein, aber Quantität und Gründlichkeit sind nicht dasselbe. Genau diese Diskrepanz ist der Hauptgrund für Kritik. Konkret: CertiK prüft so viele Projekte, dass der Name des Unternehmens sowohl auf einem belanglosen Meme-Token als auch auf einem seriösen Protokoll prangt. Eine zweitägige Prüfung erhält dasselbe Zertifikat wie eine monatelange. Käufer erkennen den Unterschied kaum. Diese Vereinheitlichung ist das eigentliche Problem mit dem Zertifikat.
Wie ein CertiK-Audit tatsächlich abläuft – Schritt für Schritt
Ein CertiK-Audit ist nicht eindimensional. Es besteht aus zwei übereinanderliegenden Ebenen, und das Verständnis des Unterschieds gibt Ihnen viel Aufschluss darüber, was der Abschlussbericht versprechen kann und was nicht.
Formale Verifizierung vs. manuelle Überprüfung
Die erste Ebene ist die formale Verifikation. Anstatt einen Smart Contract auszuführen und das Ergebnis zu beobachten, erstellt CertiK ein mathematisches Modell des Codes und beweist, ob bestimmte Eigenschaften unabhängig von den Eingaben immer gelten. Der DeepSEA-Compiler dient genau diesem Zweck. Formale Verifikation ist besonders effektiv bei eng gefassten Fragestellungen, wie beispielsweise „Kann dieser Kontostand jemals negativ werden?“, prüft aber nur die Eigenschaften, die der Benutzer festgelegt hat.
Die zweite Ebene ist die manuelle Überprüfung: Menschliche Entwickler lesen den Code Zeile für Zeile und suchen nach Logikfehlern, falschen Annahmen und subtilen Fehlern, die ein Modell nicht erkennt, weil es nicht dazu aufgefordert wurde. Hier werden die meisten wichtigen Erkenntnisse gewonnen. Je nach Umfang und Komplexität des Codes dauert der gesamte Prozess zwischen etwa 48 Stunden für kleine Projekte und mehreren Wochen für große Protokolle.
Im Bericht gelesen: „gelöst“ vs. „zur Kenntnis genommen“
Das Ergebnis ist ein Bericht. Er kennzeichnet jede Schwachstelle nach Schweregrad – kritisch, schwerwiegend, geringfügig und informativ – und beschreibt die Maßnahmen des Projekts. Diese letzte Spalte ist wichtiger, als oft angenommen wird. Ein als „behoben“ markierter Befund bedeutet, dass das Team ihn behoben hat und CertiK ihn erneut geprüft hat. Ein als „zur Kenntnis genommen“ markierter Befund bedeutet, dass das Team ihn gelesen, ignoriert und die Anwendung trotzdem veröffentlicht hat. Zwei Projekte können dasselbe Gütesiegel tragen, obwohl eines alle Schwachstellen behoben und das andere die kritischen Warnungen ignoriert hat. Das Gütesiegel allein unterscheidet sie nicht. Der Bericht hingegen schon. Deshalb ist auch das Datum im Bericht wichtig. Code wird veröffentlicht und ändert sich; ein Audit von vor einem Jahr und zehn Aktualisierungen beschreibt ein Projekt, das möglicherweise nicht mehr in der damals geprüften Form in der Blockchain existiert.
| Bühne | Was CertiK tut | Fänge | Tote Winkel |
|---|---|---|---|
| Formale Überprüfung | Beweist bestimmte Eigenschaften des Codes mathematisch | Mathematische und logische Fehler in definierten Regeln | Alles außerhalb der angegebenen Eigenschaften |
| Handbuchprüfung | Ingenieure lesen den Code von Hand | Logikfehler, falsche Annahmen, bekannte Angriffsmuster | Off-Chain-Systeme, Codeänderungen nach dem Audit |
| Bericht und erneute Prüfung | Listet die Befunde nach Schweregrad auf und überprüft die Korrekturen erneut. | Ob die Probleme angesprochen wurden | Ob das Team die korrigierte Version tatsächlich bereitgestellt hat |
Skynet und der CertiK Web3-Sicherheitswert
Audits sind Momentaufnahmen. Skynet ist CertiKs Versuch, etwas Kontinuierliches anzubieten: ein Echtzeit-Dashboard, das Projekte nach ihrem Start überwacht und jedem Projekt eine Sicherheitsbewertung zuweist. Das Unternehmen gibt an, mehr als 20.000 Projekte in der Blockchain zu überwachen.
Der Score kombiniert verschiedene Faktoren. Er berücksichtigt, ob ein Projekt geprüft wurde, ob das Team die KYC-Prüfung von CertiK bestanden hat (Gold-, Silber- und Bronze-Status) und wie sich die Smart Contracts verhalten. Skynet analysiert das Vertragsverhalten On-Chain durch Laufzeitüberwachung und kennzeichnet Anomalien. Skynet führt außerdem On-Chain-Überwachungsalarme für Exit-Scams und Exploits durch und erstellt Ranglisten, in denen Projekte miteinander verglichen werden. Als erster Eindruck ist ein Skynet-Score durchaus nützlich. Er ist schneller zu erfassen als ein vollständiger Bericht und weist auf offensichtliche Warnsignale hin. Allerdings ist er auch ein Produkt von CertiK, das teilweise auf von CertiK bereitgestellten Daten basiert. Ein hoher Score ist daher keine Garantie für die Sicherheit eines Projekts. Betrachten Sie ihn als einen Datenpunkt, nicht als Urteil. Die bisherige Entwicklung bestätigt dies. Projekte erzielten respektable Skynet-Scores bis zu dem Zeitpunkt, als sie ausgenutzt oder stillschweigend aufgegeben wurden, da ein Score, der hauptsächlich auf dem bisherigen Verhalten basiert, eine böswillige Veränderung nicht vorhersehen kann. Er zeigt lediglich an, dass ein Projekt noch nicht gescheitert ist. Es kann Ihnen nicht sagen, dass es das niemals tun wird.
Über Audits hinaus: Das restliche Ökosystem von CertiK
Das Audit steht zwar im Mittelpunkt, doch CertiK bietet ein umfassenderes Leistungspaket. Penetrationstests simulieren Angriffe auf Wallets, Börsen und Apps. Ein Bug-Bounty-Programm, das plattformgebührenfrei läuft, belohnt externe Hacker für das Aufspüren von Sicherheitslücken, bevor Kriminelle sie entdecken. Hinzu kommt KYC, um anonymen Gründern einen echten Namen zu geben, SkyInsights für die Compliance- und Geldwäschebekämpfungsmaßnahmen, die regulierte Unternehmen gemäß MiCA und DORA benötigen, und SkyTrace, um gestohlene Gelder über verschiedene Blockchains hinweg aufzuspüren, sobald etwas schiefgegangen ist. Nichts davon ersetzt das Audit. Es ergänzt es, wodurch aus einer einmaligen Beauftragung unauffällig ein Abonnement wird, das die gesamte Lebensdauer eines dezentralen Projekts abdeckt.
Erst geprüft, dann gehackt: Wenn Angriffsvektoren durchschlüpfen
Hier kommt der Teil, den die Hochglanzbroschüren auslassen: Ein Audit ist eine Momentaufnahme des Quellcodes zu einem bestimmten Zeitpunkt. Es ist keine Garantie, und wer es so behandelt, verliert Geld bei Projekten, die auf dem Papier alles „richtig“ gemacht haben.
Was eine Prüfung nicht umfasst
Ein Smart-Contract-Audit prüft den Vertrag selbst. Er prüft jedoch nicht, ob die Gründer einen Administratorschlüssel besitzen, mit dem sie das Kapital plündern können. Auch die Website, die Server und die zugehörigen privaten Schlüssel werden nicht geprüft. Ebenso wenig wird die Codeversion überprüft, die das Team nach Abschluss des Audits bereitstellt und die von der geprüften Version abweichen kann. Ein Audit kann ein Team nicht daran hindern, mit dem Geld zu verschwinden. Die meisten Angriffsvektoren, die ein Projekt leerräumen, sind gar keine Fehler im geprüften Vertrag selbst. Sie nutzen vielmehr Sicherheitslücken aus.
Der Merlin DEX-Fall: Auffällig, aber ausgenutzt
Merlin DEX ist das beste Beispiel. CertiK hat es geprüft, und die Prüfung deckte das Problem auf: Die Projektverträge waren gefährlich zentralisiert und boten privilegierten Zugriff, den ein böswilliger Insider missbrauchen konnte. Im April 2023 wurde genau diese Sicherheitslücke genutzt, um rund 1,82 Millionen US-Dollar zu erbeuten. Die Prüfung war korrekt; sie benannte das Risiko. Doch die Warnung stand in der Spalte „Bestätigt“ statt in der Spalte „Behoben“, und der Exploit nutzte die im Bericht bereits aufgezeigte Schwachstelle ungehindert aus. Die Schwachstelle zu entdecken war der einfache Teil. Darauf zu reagieren, war Aufgabe des Kunden, und das Team von Merlin tat dies nicht.
Betrachtet man die Branche aus einer übergeordneten Perspektive, wird der Trend besorgniserregend. Die Hack3d-Berichte von CertiK zeigen steigende, nicht sinkende Verluste. Das Unternehmen zählte 2024 Diebstähle in Höhe von rund 2,36 Milliarden US-Dollar bei 760 Vorfällen und 2025 in 630 Vorfällen rund 3,35 Milliarden US-Dollar – ein Jahr, das durch den einzelnen Datendiebstahl bei Bybit in Höhe von 1,45 Milliarden US-Dollar verzerrt wurde. Unabhängige Daten von Chainalysis beziffern die Diebstähle im Jahr 2025 auf fast 3,4 Milliarden US-Dollar, wovon etwa 2,02 Milliarden US-Dollar mit nordkoreanischen Gruppen in Verbindung gebracht werden. Diese Akteure zielen zunehmend auf die Personen und die Infrastruktur rund um einen Vertrag ab, anstatt auf den Vertrag selbst – genau den Bereich, den eine herkömmliche Prüfung nicht abdeckt. Mehr Prüfungen haben nicht zu weniger Kriminalität geführt.
| Jahr | Gemeldete Verluste | Vorfälle | Größter Einzelhit |
|---|---|---|---|
| 2024 | 2,36 Milliarden US-Dollar | 760 | — |
| 2025 | 3,35 Milliarden US-Dollar | 630 | Bybit, 1,45 Milliarden US-Dollar |
Der Kraken-Vorfall und das Vertrauensproblem von CertiK
Für ein Unternehmen, das Vertrauen verkauft, ist sein eigenes Verhalten Teil des Produkts. Zwei Vorfälle haben die Situation unangenehm gemacht.
Im Juni 2024 entdeckten Forscher von CertiK eine Zero-Day-Schwachstelle in der Kryptobörse Kraken und nutzten sie, anstatt sie nur zu melden, um rund drei Millionen US-Dollar aus den Systemen von Kraken abzuzweigen. CertiK präsentierte dies als Beweis für die Schwere des Fehlers. Kraken hingegen sprach von Erpressung und gab an, sich zunächst geweigert zu haben, die Gelder zurückzuzahlen, bis Druck ausgeübt wurde. Das Geld wurde schließlich zurückerstattet, doch der Vorfall warf ein schlechtes Licht auf die Angelegenheit: ein Sicherheitsunternehmen, das einen Kunden in großem Stil ausnutzte, um ein Exempel zu statuieren. Anfang 2025 entschuldigte sich CertiK dann für Arbeiten im Zusammenhang mit Huione, einem kambodschanischen Unternehmen, das später mit Zwangsarbeitsbetrug in Verbindung gebracht wurde. All dies bedeutet nicht, dass die Prüfungen von CertiK wertlos sind. Es bedeutet aber, dass ein Unternehmen, das vom Markt Vertrauen erwartet, nun einen Teil seines Vertrauens wiederherstellen muss – und dies tut es offenbar, während es sich auf einen Börsengang mit einer Bewertung von rund zwei Milliarden US-Dollar vorbereitet.
CertiK im Vergleich zu anderen Web3-Sicherheitsfirmen
CertiK ist zwar der bekannteste Name im Bereich Blockchain-Sicherheit, aber nicht der einzige, und für viele Projekte nicht die naheliegendste Wahl. Der Markt für Sicherheitsaudits lässt sich grob in große Anbieter und spezialisierte Unternehmen unterteilen. Letztere betreuen weniger Kunden und gehen in der Regel tiefer ins Detail. Viele setzen eigene Sicherheitsstandards, die die Kapazitäten großer Anbieter übersteigen. Protokolle, die mit hohen Geldsummen arbeiten, holen sich daher oft eine Zweitmeinung von einem dieser spezialisierten Anbieter ein. Umfang und Tiefe der Prüfung sind nicht dasselbe, und die richtige Wahl hängt von der jeweiligen Projektphase und dem Budget ab. Die Preise spiegeln diese Bandbreite wider: Ein Audit für einen kleinen Token kann einige Tausend Dollar kosten, während eine umfassende Überprüfung eines komplexen Protokolls deutlich über 100.000 Dollar kostet.
| Firma | Fokus | Bekannt für | Modell |
|---|---|---|---|
| CertiK | Sicherheit im Broad Web3 | Volumen, Skynet, Markenbekanntheit | Skala |
| Spurensuche | Hohe Sicherheitsstandards | Gründliche manuelle Überprüfung, Recherche | Boutique |
| OpenZeppelin | Sicherheit von Smart Contracts | Weit verbreitete Vertragsbibliotheken | Boutique |
| Halborn | Blockchain- und Infrastruktursicherheit | Penetrationstests, fortgeschrittene Exploits | Mittelgroß |
| Hacken | Web3-Audits und -Überwachung | Kosteneffiziente Audits | Mittelgroß |
So lesen Sie das „Audited by CertiK“-Siegel
Sie sehen also bei einem Projekt den Hinweis „Von CertiK geprüft“. Bevor Sie dem vertrauen, öffnen Sie den vollständigen Bericht und prüfen Sie fünf Punkte. Erstens: Der Umfang: Welche Verträge wurden geprüft, und ist der Vertrag, der Ihre Gelder verwaltet, darunter? Zweitens: Datum und Commit-Hash. Vergleichen Sie diese mit dem tatsächlich verwendeten Code, da sie oft voneinander abweichen. Drittens: Die Ergebnisse: Wie viele waren kritisch, und wurden sie behoben oder nur zur Kenntnis genommen? Viertens: Stimmt die geprüfte Version mit der bereitgestellten Version überein? Fünftens: Verlassen Sie sich nicht allein auf den Skynet-Score; er ist eine Zusammenfassung, nicht das vollständige Dokument.
Kurz zu den Börsenkürzeln, da diese oft verwechselt werden: CertiK ist ein privates Unternehmen und hat keine Aktien. CTK ist der Token der Shentu Chain, einem separaten Proof-of-Stake-Netzwerk, das mit den Anfängen von CertiK verbunden ist. Der Kauf von CTK bedeutet nicht, Anteile am Wirtschaftsprüfungsunternehmen zu erwerben. Falls Sie nach „CertiK-Aktien“ gesucht haben: Es gibt derzeit keine.
Was ein CertiK-Audit wirklich wert ist
Ist ein CertiK-Audit also sinnvoll? Ja, bis zu einem gewissen Grad. Er setzt die Mindeststandards. Er filtert schlampigen Code heraus, dokumentiert reale Risiken und liefert einem engagierten Team eine Liste mit Verbesserungsvorschlägen. Was er jedoch nicht leisten kann, ist, für die Beteiligten zu bürgen. Er garantiert weder, dass der implementierte Code dem geprüften entspricht, noch dass auch nur ein einziges der gemeldeten Risiken tatsächlich behoben wurde. Betrachten Sie das Zertifikat als Beginn Ihrer Sorgfaltspflicht, nicht als deren Ende. Wenn Sie also das nächste Mal „Von CertiK geprüft“ sehen, tun Sie das Unspektakuläre, das fast niemand tut: Öffnen Sie den Bericht und lesen Sie die Spalte mit den behobenen Fehlern. Und wenn das Projekt Ihnen den Bericht nicht zeigen will? Genau diese Zurückhaltung ist der Grund. Ein Zertifikat, das Sie nicht überprüfen können, ist letztendlich nur ein Logo.
