Composability funktioniert, weil die meisten DeFi-Protokolle quelloffene Smart Contracts mit standardisierten Schnittstellen sind, etwa dem ERC-20-Tokenstandard oder dem neueren ERC-4626-Vault-Standard, sodass jeder Contract auf derselben Blockchain die öffentlichen Funktionen eines anderen Protokolls direkt aufrufen kann, ohne Partnerschaftsvereinbarung oder Zustimmung der Entwickler.
In der Praxis wird die Ausgabe eines Protokolls zur Eingabe des nächsten. Ein Nutzer kann DAI in einen Kreditmarkt einzahlen, das daraus entstehende zinstragende Token auf einer dezentralen Exchange handeln und den Erlös anschließend in einen Yield Vault einzahlen, alles atomar innerhalb einer einzigen Transaktion. Yearn-Finance-Vaults nutzen genau dieses Muster: Sie leiten Einlagen über Curve, um Handelsgebühren zu verdienen, und staken das entstehende Liquiditätstoken in Convex für zusätzliche Rewards, wodurch die Funktionalität zweier anderer Protokolle gestapelt wird, ohne dass eine Zusammenarbeit mit beiden Teams nötig ist. Dieses permissionless Stapeln sorgt dafür, dass ein einziges neues Protokoll über Nacht Tausende neuer Produktkombinationen freischalten kann.
Composability spielt sich größtenteils innerhalb einer Chain ab, allen voran Ethereum, wo der Großteil der Total Value Locked in DeFi liegt und wo Protokolle dieselbe Ausführungsumgebung teilen. Das Verschieben von Assets zwischen getrennten Blockchains erfordert weiterhin Bridges oder eigene Interoperabilitäts-Tools statt eines nativen Funktionsaufrufs.
Dieselbe Vernetzung, die Innovation beschleunigt, bündelt auch Risiko. Wird ein grundlegendes Protokoll ausgenutzt, etwa über einen Flash Loan, der ein Price Oracle manipuliert, kann jede darauf aufbauende Anwendung innerhalb derselben Transaktion betroffen sein, ein Fehlerbild, das Sicherheitsforscher Composability Risk oder Cascading Contagion nennen. Auditoren und Entwickler behandeln zunehmend jede Abhängigkeit im Stack eines Protokolls als Teil der eigenen Angriffsfläche.