Zwei Bridge-Exploits entzogen 606 Mio. $ und lösten Abflüsse von 13 Mrd. $ aus. So hätte Cross-Chain-Contagion DeFi beinahe gebrochen, und was die Branche dagegen unternimmt.
Marcus Webb
DeFi-Forschungsleiter
Marktanalysen und umsetzbare Erkenntnisse. Kein Spam, niemals.
Der April 2026 wurde zum schlimmsten Monat für DeFi-Exploits seit Februar 2025. Zwölf Hacks entzogen in 18 Tagen 606 Millionen Dollar und lösten eine Abflusskaskade von 13 Milliarden Dollar aus, die offenlegte, wie tief verflochten die moderne DeFi-Infrastruktur inzwischen ist.
Die Zahlen sind erschreckend. In nur 18 Tagen entzogen 12 separate Exploits 606 Millionen Dollar aus DeFi-Protokollen. Zwei Vorfälle machen 95% des Schadens aus: der Drift Protocol Hack auf Solana (285 Millionen Dollar, 1. April) und der Kelp DAO Bridge-Exploit auf Ethereum (292 Millionen Dollar, 18. April). Zusammen repräsentieren sie 75% aller im Jahr 2026 gestohlenen Kryptowährungen.
Doch die direkten Verluste erzählen nur einen Teil der Geschichte. Die eigentliche Krise war die Ansteckung: 8,45 Milliarden Dollar flossen innerhalb von 48 Stunden aus Aave ab, der DeFi-TVL fiel um 25% von seinem Januarhoch von 110 Milliarden Dollar auf rund 82 Milliarden Dollar, und der Begriff "DeFi is dead" trendete drei aufeinanderfolgende Tage in den Krypto-Sozialen-Medien.
Dieser Artikel analysiert, was passiert ist, warum es passiert ist und was als Nächstes kommt.
Am 1. April entzogen Angreifer 285 Millionen Dollar aus Drift Protocol, Solanas größter DEX für unbefristete Futures mit 550 Millionen Dollar TVL. Der Angriff dauerte 12 Minuten in der Ausführung, wurde aber drei Wochen lang vorbereitet.
Die Methode war kein Smart-Contract-Bug. Die Angreifer gaben sich als quantitative Handelsfirma aus und bauten über Wochen Vertrauen zu Mitgliedern des Security Council von Drift auf. Sie nutzten Solanas "durable nonces"-Funktion aus, die es erlaubt, Transaktionen vorab zu signieren und später auszuführen, und verleiteten legitime Unterzeichner dazu, ruhende Transaktionen zu autorisieren, die später gegen das Protokoll eingesetzt wurden.
Nachdem sie die Kontrolle hatten, setzten die Angreifer einen wertlosen, fabrizierten Token als Sicherheit auf die Whitelist, hinterlegten 500 Millionen Einheiten davon und hoben 285 Millionen Dollar in USDC, SOL und ETH ab. Die Ansteckung breitete sich auf mehr als 20 Solana-Protokolle aus. Carrot Protocol pausierte seine Mint- und Redeem-Funktionen, nachdem es 50% seines TVL verloren hatte. Pyra Protocol deaktivierte Auszahlungen vollständig.
Das Blockchain-Analyseunternehmen Elliptic brachte den Angriff mit DPRK-affiliierten Akteuren in Verbindung, was dem Muster staatlich geförderter Ausbeutung entspricht, die sich im gesamten Zeitraum 2025 und 2026 beschleunigt hat.
Siebzehn Tage später, am 18. April, wurde die Kelp DAO Bridge für 292 Millionen Dollar durch eine grundlegend andere Art von Angriff ausgebeutet, der eine systemische Schwäche in der Cross-Chain-Bridge-Architektur offenlegte.
Um 17:35 UTC prägte ein Angreifer 116.500 rsETH auf dem Ethereum-Mainnet, etwa 18% des zirkulierenden Angebots von Kelp DAO, im Wert von rund 292 Millionen Dollar. Die Token hatten keine Deckung. Die gefälschte LayerZero-Nachricht passierte die Prüfung, weil die Bridge sich auf ein einziges Decentralized Verifier Network (DVN) zur Validierung von Cross-Chain-Transfers verließ.
Der Angreifer kompromittierte die Infrastruktur dieses einzelnen Verifizierers und vergiftete die Server, die er zur Überprüfung von Transaktionen nutzte. Ohne eine zweite Verifizierungsschicht akzeptierte die Bridge die fabrizierte Nachricht als legitim und gab ungedeckte rsETH auf Ethereum frei.
LayerZero bestätigte, dass der Exploit aus einer 1-of-1-DVN-Konfiguration resultierte. Ihre Post-Incident-Analyse ergab, dass 40% der Protokolle, die LayerZeros Infrastruktur nutzen, mit demselben Single-Verifier-Setup arbeiten.
Das anschließende Schuldzuweisungsspiel legte eine unbequeme Wahrheit über die DeFi-Infrastruktur offen. LayerZero verwies auf Kelps Konfigurationsentscheidungen. Kelp entgegnete, dass LayerZeros eigener Quickstart-Guide und die Standard-GitHub-Templates Entwickler in Richtung 1-of-1-Setups lenkten. Beide haben teilweise recht: Die Standardeinstellungen waren unsicher, und Kelp hat sie nicht überschrieben.
LayerZero kündigte daraufhin an, keine Nachrichten mehr für Anwendungen mit Single-Verifier-Konfigurationen zu signieren, und erzwingt damit eine protokollweite Migration zu Multi-DVN-Setups (2/3, 3/5 oder ähnlich).
Der Kelp DAO Exploit blieb nicht bei 292 Millionen Dollar stehen. Da rsETH als Sicherheit in zahlreichen DeFi-Protokollen weit verbreitet war, lösten die ungedeckten Token einen Kaskadenausfall über mehrere Protokolle hinweg aus.
Aave trug die schwersten Sekundärauswirkungen. Das Lending-Protokoll fror seine rsETH-Märkte ein, doch zu diesem Zeitpunkt hatten Einleger bereits begonnen, ihre Gelder abzuziehen. Innerhalb von 48 Stunden flossen 8,45 Milliarden Dollar an Einlagen aus Aave ab, wodurch sein TVL von 26,4 Milliarden Dollar auf 17,9 Milliarden Dollar fiel. Aave selbst steht vor geschätzten Verlusten von bis zu 230 Millionen Dollar an potenziellen uneinbringlichen Forderungen, falls rsETH ungedeckt bleibt.
| Protokoll | Auswirkung | Reaktion |
|---|---|---|
| Aave | 8,45 Mrd. $ Abflüsse, 230 Mio. $ potenzielle uneinbringliche Forderungen | rsETH-Märkte eingefroren, Governance-Vorschlag ausstehend |
| Pendle | rsETH PT/YT-Märkte betroffen | rsETH-Handelspaare pausiert |
| Compound | Exposure durch rsETH-Sicherheiten | Betroffene Märkte eingefroren |
| Euler | Indirekte Exposure über rsETH | Einzahlungen pausiert |
| Ether.fi | LayerZero-Bridge-Exposure | weETH/-Bridges pausiert |
Der Mechanismus ist ein Lehrbuchbeispiel für Ansteckung. rsETH wurde als Sicherheit in Dutzenden von Protokollen verwendet. Als es ungedeckt wurde, stand jedes Protokoll, das es als Sicherheit akzeptierte, vor potenziellen uneinbringlichen Forderungen. Die rationale Reaktion für Einleger war, Gelder abzuziehen, selbst aus Protokollen ohne direkte Exposure, da die Verflechtungen in Echtzeit schwer einzuschätzen waren.
Das Ergebnis: Der gesamte DeFi-TVL fiel auf rund 82,4 Milliarden Dollar, den niedrigsten Stand seit einem Jahr und ein Rückgang von 25% gegenüber 110 Milliarden Dollar zu Beginn des Jahres 2026. Der Fear and Greed Index fiel auf 27.
Die Exploits im April passen in ein gut etabliertes Muster. Cross-Chain-Bridges waren durchweg die gefährlichste Angriffsfläche in DeFi:
Wormhole Bridge für 320 Millionen Dollar ausgebeutet
Ronin Bridge um 625 Millionen Dollar geleert (Lazarus Group)
Orbit Chain Bridge verlor 81 Millionen Dollar
Bybit Exchange Hack, 1,5 Milliarden Dollar (Lazarus Group)
Drift Protocol, 285 Millionen Dollar (DPRK-verknüpft)
Kelp DAO Bridge, 292 Millionen Dollar (Lazarus Group)
Der Kelp DAO Angriff teilt eine Grundursache mit fast jedem großen Bridge-Exploit: einen Single Point of Failure im Verifizierungsprozess. Ob es sich um eine kompromittierte Multisig (Ronin), eine fehlende Validierungsprüfung (Wormhole) oder ein einzelnes DVN (Kelp) handelt, das Muster ist dasselbe. Bridge-Sicherheit hängt von Verifizierungsredundanz ab, und Protokolle werden wiederholt mit unzureichender Redundanz ausgeliefert.
Nordkoreanische staatlich geförderte Hacker haben allein im April 2026 schätzungsweise 577 Millionen Dollar aus Kryptowährungen gestohlen, durch die Drift- und Kelp DAO-Angriffe. Die Raffinesse dieser Angriffe nimmt zu: Drifts Social-Engineering-Ansatz und Kelps Infrastruktur-Kompromittierung erforderten beide wochenlange Vorbereitung und tiefes technisches Wissen.
Die Reaktion der Branche war schneller als in früheren Zyklen. Mehrere konkrete Änderungen sind bereits im Gange.
LayerZeros verpflichtende Multi-DVN-Richtlinie beseitigt den offensichtlichsten Fehlermodus. Indem LayerZero sich weigert, Nachrichten für 1-of-1-Verifier-Setups zu signieren, zwingt es die 40% der Integratoren, die derzeit unsichere Konfigurationen betreiben, zum Upgrade. Dies ist die wirkungsvollste einzelne Änderung, verhindert aber nicht alle Angriffsvektoren.
Aaves Governance-Vorschläge adressieren das strukturelle Risiko von Liquid Restaking Tokens (LRTs) als Sicherheiten. Der Vorfall offenbarte, dass DeFi-Lending-Protokolle unzureichende Risikoparameter für LRT-Assets hatten, deren Wert von der Integrität externer Bridges abhängt.
Echtzeit-Monitoring verbessert sich. On-Chain-Sicherheitsfirmen wie Blockaid und Chainalysis veröffentlichten technische Post-Mortems innerhalb von Stunden, und mehrere Protokolle implementierten automatisierte Circuit Breaker, die vor einem manuellen Eingreifen auslösten.
Der regulatorische Druck wächst. Die Verluste im April verleihen den Forderungen nach verpflichtenden DeFi-Sicherheitsaudits mehr Dringlichkeit. Das im März 2026 etablierte SEC-CFTC-Framework bietet bereits eine jurisdiktionelle Grundlage, und der Kelp DAO-Vorfall liefert Regulierungsbehörden ein konkretes Beispiel dafür, warum Sicherheitsstandards wichtig sind.
Historische Daten bieten eine gewisse Grundlage für Optimismus. Nach dem Wormhole-Hack im Jahr 2022 fiel der DeFi-TVL um rund 15%, bevor er 80% des Verlusts innerhalb eines Monats wieder aufholte. Der aktuelle Fear and Greed-Wert von 27 deutet auf eine fragilere Stimmung hin, was die Erholung über das typische Fenster von vier bis sechs Wochen hinaus verlängern könnte.
Mehrere Faktoren sprechen für eine eventuelle Erholung. Die zugrunde liegenden Restaking-Verträge im Kelp DAO-Vorfall haben nicht versagt. EigenLayer-Delegierungen bleiben intakt. Mainnet-rsETH ist weiterhin durch legitime Einlagen gedeckt. Das Problem war die Bridge, nicht das Restaking-Protokoll selbst.
Die 13 Milliarden Dollar an DeFi-Abflüssen wurden durch Angst ausgelöst, nicht durch tatsächliche Protokollinsolvenz. Die meisten Protokolle, die Abflüsse verzeichneten, hatten keine direkte Exposure gegenüber rsETH. Sobald der Markt diese Unterscheidung verarbeitet, dürfte Kapital zu Protokollen mit stärkeren Sicherheitsprofilen zurückkehren.
Die entscheidende Kennzahl, die es zu beobachten gilt, ist Aaves Governance-Lösung. Wenn das Protokoll die potenziellen uneinbringlichen Forderungen erfolgreich bewältigt, ohne ein ungeordnetes Liquidationsereignis auszulösen, sollte das Vertrauen zurückkehren. Wenn es Notmaßnahmen erfordert oder weitere Verluste erleidet, könnte sich die Ansteckung vertiefen.
Für Investoren, die sich durch die Nachwirkungen bewegen, sind drei Signale am wichtigsten:
Bridge-Konfigurationsaudits. Verfolgen Sie, welche Protokolle auf Multi-DVN-Setups migriert haben. Diese Daten sind öffentlich On-Chain verifizierbar. Protokolle, die schnell handeln, signalisieren eine starke Sicherheitskultur.
Aave-Governance-Ergebnisse. Der Umgang der Community mit den uneinbringlichen rsETH-Forderungen setzt den Präzedenzfall dafür, wie DeFi-Protokolle mit echten Einnahmen Black-Swan-Ereignisse bewältigen.
TVL-Stabilisierung. Wenn die Nettoabflüsse aus den großen Lending-Protokollen aufhören, ist die angstgetriebene Phase vorbei. Wöchentliche DeFi-TVL-Daten von DefiLlama sind das klarste Signal.
Die 606 Millionen Dollar an direkten Verlusten sind schmerzhaft. Die 13 Milliarden Dollar an angstgetriebenen Abflüssen sind noch schmerzhafter. Doch die strukturellen Veränderungen, verpflichtende Multi-Verifier-Bridges, bessere Risikoparameter für Sicherheiten und Echtzeit-Monitoring, stellen einen echten Fortschritt dar. DeFi-Infrastruktur wird einem Stresstest unterzogen, und die Protokolle, die überleben, werden gestärkt daraus hervorgehen.
Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Finanzberatung dar. Investitionen in Kryptowährungen bergen erhebliche Risiken. Führen Sie immer Ihre eigene Recherche durch und konsultieren Sie einen qualifizierten Finanzberater, bevor Sie Anlageentscheidungen treffen.
