Im April wurden bereits über 600 Millionen US-Dollar aus DeFi, Bridges und Wallets gestohlen, wodurch Sicherheit von einer protokollinternen Sorge zu einer umfassenden Marktrisikoprämie geworden ist.
Aktuelle Gesamtzahlen zeigen, dass Krypto-Protokolle in den ersten 18 Apriltagen bereits über 606 Millionen US-Dollar durch Hacks verloren haben, was den April zum schlimmsten Monat für Exploits seit Februar 2025 macht und die bisherigen Verluste im Jahr 2026 auf über 770 Millionen US-Dollar ansteigen lässt. Laut Daten von DefiLlama wurden diesen Monat mindestens 13 Protokolle kompromittiert, wobei KelpDAO und Drift Protocol allein für etwa 95 % der Verluste im April und grob 75 % der Gesamtverluste im Jahr 2026 verantwortlich sind.
KelpDAO, ein Ethereum Liquid-Staking-Protokoll, erlitt am 18. April einen Angriff, bei dem etwa 116.500 rsETH im Wert von rund 292 Millionen US-Dollar entwendet wurden, nachdem ein Angreifer Cross-Chain-Nachrichten fälschte, um einen LayerZero EndpointV2 Bridge-Vertrag dazu zu bringen, Reserven freizugeben. Drift, Solanas größte dezentrale Perpetual-Börse, wurde am 1. April von einem von regionalen Medien als „ausgeklügelt“ bezeichneten Exploit getroffen, bei dem etwa 285 Millionen US-Dollar verloren gingen. Dies ist nach dem 326-Millionen-Dollar-Wormhole-Hack im Jahr 2022 der zweitgrößte Sicherheitsverstoß in der Geschichte von Solana.
Die jüngste Welle von Hacks beschränkt sich nicht auf Smart-Contract-Bugs oder Restaking-Primitive. Vorfälle betrafen Routing- und Infrastrukturschichten wie Hyperbridge sowie Front-End- und DevOps-Anbieter wie Vercel, wo Angreifer auf interne Systeme zugriffen und angeblich gestohlene Daten für 2 Millionen US-Dollar zum Kauf anbieten, um „globale Lieferkettenangriffe“ zu finanzieren.
Auf der menschlichen Seite gab der Wallet-Anbieter Zerion bekannt, dass er von nordkoreanischen Hackern angegriffen wurde, die KI-gesteuerte, langfristige Social-Engineering-Kampagnen nutzten, um Hot-Wallet-Schlüssel zu kompromittieren, wobei etwa 100.000 US-Dollar gestohlen wurden, während Benutzergelder und die Kerninfrastruktur intakt blieben. Die Security Alliance (SEAL) hat mindestens 164 bösartige Domains identifiziert, die mit der DPRK-verbundenen Gruppe UNC1069 in Verbindung stehen, und beschreibt deren Vorgehensweise als „Geduld, Präzision und die bewusste Instrumentalisierung bestehender Vertrauensbeziehungen“.
Branchendaten aus früheren Vorfällen, wie dem 70-Millionen-Dollar-Hot-Wallet-Exploit an der in Singapur ansässigen Börse Phemex im Jahr 2025, hatten bereits die Tendenz nordkoreanisch verbundener Akteure hervorgehoben, gestohlene USDT und USDC schnell in ETH umzuwandeln, um Blacklists zu umgehen – ein Muster, das laut Behörden auch im Jahr 2026 anhält.
Die Marktstruktur reagierte in Echtzeit, als sich die April-Hacks häuften. Zwischen 11:00 und 13:00 UTC an wichtigen Nachrichtentagen zeigten die Orderbücher schwächerer Mid-Cap-DeFi-Namen klassische „Kapitulations“-Signaturen: eintägige Rückgänge von etwa 5–8 %, dünne Gebote und eine sichtbare Rotation hin zu Protokollen mit saubereren Sicherheitsbilanzen. Derivatemärkte sahen eine leicht negative Tendenz bei der Korbfinanzierung für DeFi, während die Spot-Liquidität abnahm – eine Konfiguration, die Desks eher mit einer breiten „Sicherheitssteuer“ auf risikoreiche Anlagen als mit isolierten idiosynkratischen Schocks in Verbindung bringen.
Für Trader hat sich Sicherheit somit zu einem expliziten Faktor entwickelt: das Ausblenden gehebelter DeFi-Beta bei Exploit-Schlagzeilen, das Long-Bleiben bei zentralisierten Plattformen und volatilitätsmonetarisierender Infrastruktur und das Bereithalten von Liquidität für Zwangsanbieter, sobald uneinbringliche Forderungen und Abschreibungen vollständig on-chain erkannt werden.
