Was als Kelp DAO Exploit begann, ist nicht mehr nur eine Bridge-Geschichte, sondern nun ein Krypto-Referendum darüber, wie DeFi mit Sicherheit, Ansteckung und Rechenschaftspflicht umgeht.
Der unmittelbare Schaden war bereits beträchtlich. Der Exploit von rund 292 Millionen Dollar traf die rsETH-Bridge von Kelp DAO, löste Bedenken wegen fauler Kredite (Bad Debt) bei Aave aus und führte zu einer neuen Runde von Schuldzuweisungen zwischen Protokollen und Infrastrukturanbietern.
Die Marktreaktion war brutal. On-Chain-Analysten von Lookonchain berichteten, dass Aaves Total Value Locked (TVL) um fast 8 Milliarden Dollar fiel, nachdem der Angreifer gestohlene, mit Kelp DAO verknüpfte Vermögenswerte als Sicherheit verwendet und somit rund 195 Millionen Dollar an faulen Krediten hinterlassen hatte.
Die Daten von The Block zeigen nun, dass Aaves TVL innerhalb von 48 Stunden einen starken Rückgang erlitten hat, da Gelder, unter anderem zu Spark, umgeschichtet wurden.
Diagramm erweitern
The Block berichtete später, dass Aave zwei mögliche Szenarien für faule Kredite (Bad Debt) im Zusammenhang mit den Auswirkungen modelliert hatte.
In der Zwischenzeit begannen die bei dem Exploit gestohlenen Gelder, sich über verschiedene Chains zu bewegen, nachdem Arbitrum einen großen Teil des verknüpften ETH eingefroren hatte.
Eine scharfe Frage, die derzeit in der gesamten Branche diskutiert wird, ist nicht, ob DeFi noch funktioniert, sondern welche Art von Risiken es im Jahr 2026 noch toleriert.
Michael Egorov, Gründer von Curve, drückte es in aller Deutlichkeit aus. „WTF? Sind wir eine Branche von Clowns?“, schrieb er auf X und argumentierte, dass jüngste Ausfälle, die mit zentralisierten Fehlerquellen verbunden sind, einer Branche schaden, die immer noch behauptet, die Zukunft des Finanzwesens aufzubauen.
Sein umfassenderer Punkt kommt an. Die Kelp-Sicherheitslücke traf nicht nur ein Protokoll, sondern verbreitete sich durch Komponierbarkeit (Composability).
Ein einzelner Bridge-Ausfall führte zu einem Multi-Protokoll-Kollateralrisiko. Das Kollateralrisiko verwandelte sich in Kreditstress. Kreditstress führte zu Abhebungen. Im DeFi mag der Code modular sein, aber die Panik ist geteilt.
Wenzhao Dong, ein Blockchain-Analyst bei CertiK, erklärte The Block, das Problem sei nicht, dass DeFi grundsätzlich defekt sei. Vielmehr betrachten zu viele Teams Sicherheit immer noch als Kostenfaktor.
„Die Protokolle, die den nächsten Zyklus überleben werden, sind diejenigen, die Sicherheit so betrachten, wie TradFi das Gegenparteirisiko betrachtet – als entscheidenden Faktor, nicht als nachträglichen Gedanken“, sagte Dong.
Brian Trunzo, Chief Growth Officer bei Succinct Labs, äußerte einen ähnlichen Standpunkt. Er sagte, dass Bridges nicht länger auf vertrauensintensive Validatorenmodelle angewiesen sein sollten, wenn es doch beweisbasierte Systeme gibt.
Seiner Ansicht nach war der Kelp-Exploit ein Fehler in der Bridge-Verifizierungsschicht, kein typischer Smart-Contract-Bug, und er zeigte, wie gefährlich Annahmen mit nur einem Signator (Single-Signer) bleiben.
„An diesem Punkt, wenn Ihr Vertrauensmodell weniger als ZK ist, handeln Sie grob fahrlässig. Vielleicht sogar rücksichtslos“, sagte Trunzo gegenüber The Block.
Andere trieben die Kritik weiter voran.
Sergej Kunz, Mitbegründer von 1inch, sagte, die Episode habe gezeigt, wie fragil das Shared-Pool-Modell werden kann, wenn ein fehlerhafter Vermögenswert die volle Auslastung antreibt und Benutzergelder effektiv blockiert. Matthew Pinnock, COO bei Altura DeFi, fügte hinzu, dass die Geschwindigkeit der Abhebungen zeigte, wie schnell das Vertrauen schwinden kann, sobald Annahmen über Sicherheiten zerbrechen.
Dennoch gingen nicht alle pessimistischer aus der Sache hervor.
Taylor Monahan, Sicherheits-Expertin bei Metamask, bezeichnete Arbitrums Notfall-Einfrierung von gestohlenem ETH als Zeichen dafür, dass „DeFi f*cking gewinnt“, und lobte die Koordination, die erforderlich war, um weiteren Schaden zu verhindern.
Haseeb Qureshi von Dragonfly sagte, DeFi habe immer durch Misserfolge gelernt und verglich den aktuellen Moment mit früheren Krisen wie Terra, den Auktionsausfällen im März 2020 und dem stETH-Depeg. Erik Voorhees argumentierte ähnlich aus den ersten Prinzipien: Im Krypto-Bereich, so seine Argumentation, bleiben Fehler nahe am Ursprung, anstatt gesellschaftlich verallgemeinert zu werden, wie es oft im traditionellen Finanzwesen der Fall ist.
Eine etwas andere Sichtweise bot Neil May, CEO von defi.com. Im Gespräch mit The Block vermutete May, dass die Schwäche von DeFi nicht nur technischer, sondern auch erfahrungsorientierter Natur sei. Von den Nutzern wird immer noch erwartet, zu viel zu verstehen, zu viel preiszugeben und sich bei Problemen zu schlecht zu erholen.
„Die Menschen müssen verstehen, was sie signieren, begrenzen, was sie offenlegen, und einen klaren Wiederherstellungspfad haben, wenn etwas schiefgeht. Dies ist einfach ein Unternehmensstandard, der im heutigen DeFi fehlt“, sagte May. „Die Produkte, die das Vertrauen des Mainstreams gewinnen, werden diejenigen sein, die Sicherheit unsichtbar machen, nicht diejenigen, die von den Nutzern verlangen, ihr eigenes Sicherheitsteam zu sein.“
Für einige mag das die wichtigste Erkenntnis aus dem Kelp-Vorfall sein.
Der Exploit hat eine alte DeFi-Debatte über Dezentralisierung versus Bequemlichkeit wiederbelebt, aber auch eine neuere verschärft: Sicherheit endet nicht mehr bei den eigenen Smart Contracts eines Protokolls.
Ein Kreditmarkt kann für sich genommen gesund sein und trotzdem von einer vorgelagerten Bridge getroffen werden.
Eine Bridge kann sich dezentralisiert nennen und trotzdem von einem einzigen schwachen Glied abhängen.
Eine Notfall-Einfrierung kann Gelder retten und dennoch unbequeme Fragen zur Governance und Intervention aufwerfen.
Lukas Schor, Präsident der Safe Ecosystem Foundation, sagte The Block, das größere Muster sei wichtiger als die Schuldzuweisungen darüber, wer letztendlich das Loch bei Aave füllt.
Mit Lazarus in Verbindung stehende Akteure, so sagte er, haben die Angriffsfrequenz in diesem Monat beschleunigt, während KI beginnt, das Risiko von Aufklärung (Reconnaissance) und Social Engineering zu verstärken.
Nach Schors Ansicht steht die DeFi-Branche einem Staats-Adversär (Nation-State-Grade Adversary) gegenüber, dessen Verteidigung noch für eine „weichere“ Ära ausgelegt ist.
„Was jetzt klar ist, ist, dass selbst die etabliertesten DeFi-Protokolle ein Ziel auf ihrem Rücken tragen“, sagte er The Block. „Cybersicherheit war schon immer ein Katz-und-Maus-Spiel. Aber im Moment ist klar, dass wir als Branche unsere Verteidigungsmaßnahmen verstärken müssen. Andernfalls wird das Vertrauen in DeFi sehr schnell und unwiederbringlich erodiert.“
Er stellte die These auf, dass genau dieser Punkt der Grund sei, warum die Zahlen über die Schlagzeilen hinaus von Bedeutung sind. The Block berichtete Anfang dieser Woche, dass die DeFi-Verluste in nur wenigen Wochen bereits über 600 Millionen Dollar erreicht hatten. Zählt man den Exploit von Drift in Höhe von rund 285 Millionen Dollar und die überarbeitete Verlustschätzung von Hyperbridge von 2,5 Millionen Dollar hinzu, so entwickelt sich der April zu einem weiteren Monat, der den Sektor zwingt, harte Fragen zu Vertrauensannahmen und operativer Disziplin zu beantworten.
Disclaimer: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dazu bestimmt.
