Am Samstag, 18. April 2026, um 17:35 UTC wurde KelpDAOs LayerZero-Bridge ausgenutzt. Der Angreifer prägte 116.500 rsETH ohne Backing — etwa $292 Millionen, rund 18 % der Token-Supply. Das war der Anfang. Das Interessante kam danach.
In den 48 Stunden nach dem Drain verließen $13,21 Milliarden das DeFi-Ökosystem. Die Aave-Verträge wurden nicht kompromittiert. Trotzdem fielen $8,45 Milliarden Einlagen aus Aave ab. Das Verhältnis: für jeden gestohlenen Dollar bewegten sich rund 45 Dollar zusätzlich aus DeFi heraus.
Das ist keine Story über einen Hack. Das ist eine Story über Concentration Risk.
Was tatsächlich passiert ist
Der Angreifer — laut LayerZero-Attribution Lazarus Group — fand keinen Bug im LayerZero-Protokoll selbst. Er fand eine Konfigurations-Schwäche bei Kelp: Ein Verifier-Setup, das auf Multi-Sig ausgelegt war, war auf 1-of-1 gestellt. Über kompromittierte RPC-Nodes und einen DDoS-getriggerten Failover wurden die unbacked rsETH-Tokens geprägt.
Statt sie zu dumpen, machte der Angreifer den eigentlich klugen Schachzug: Er deponierte rund 90.000 rsETH als Collateral auf Aave V3 und borgte etwa $190 Millionen in echtem ETH und anderen Assets. Aave blieb mit rsETH zurück, das niemand kaufen wollte.
Damit war das Problem von einem Bridge-Hack zu einem Lender-Bilanz-Loch geworden.
Warum sich der Schock so weit ausbreitete
Hier wird die Geschichte interessant. rsETH war nicht nur Collateral auf Aave. Es lag auf SparkLend, Fluid, in Lidos EarnETH-Vault, in dutzenden Yield-Strategien. Eine einzige Sicherheit, die plötzlich toxisch wird, sitzt gleichzeitig auf vielen Bilanzen.
Das ist die Definition von systemischem Risiko in TradFi. In DeFi nennt man es „Money Lego" — und das war über Jahre als Feature verkauft worden, nicht als Bug.
Die Folgen liefen sich auf:
| Effekt | Größe |
|---|---|
| TVL-Outflow DeFi insgesamt (48h) | $13,21 Mrd |
| Aave Einlagen-Abfluss | $8,45 Mrd |
| Aave-spezifisches Bad Debt | $124–230 Mio |
| AAVE-Token (1 Tag) | −16 % |
| Aave USDC/USDT Borrow-Rate | 3,4 % → 14 % |
| Aave ETH Borrow-Rate | 2 % → 8 % |
| USDe Supply-Rückgang (3 Tage) | −$800 Mio (−14 %) |
Eingefroren oder pausiert: Aave-rsETH-Märkte (V3 + V4), SparkLend, Fluid, Lido EarnETH, Ethenas LayerZero-OFT-Bridges. Arbitrums Security Council fror 30.766 ETH der Angreifer-Adresse ein — ein Eingriff, der seinerseits eine Debatte über die Grenzen von Layer-2-Dezentralisierung ausgelöst hat.
Das Aufräumen läuft als „DeFi United". Stani Kulechov hat persönlich 5.000 ETH, Mantle eine 30.000-ETH-Kreditlinie, Lido 2.500 stETH und Aave selbst 25.000 ETH zugesagt. Stand 24. April: rund 69.534 ETH (~$161 Mio) zugesagt. Wenn alle Proposals durchgehen, ist das Loch gestopft.
Der eigentliche Punkt: Concentration Risk
Wer den KelpDAO-Hack als isolierten Smart-Contract-Bug liest, übersieht das eigentliche Muster. Drift Protocol verlor Anfang April 2026 etwa $285 Millionen über kompromittierte Admin-Keys — knapp mehr als KelpDAO. Aber Drifts Schaden blieb auf Solana, auf Drift, auf eine Collateral-Klasse begrenzt. Die sektorweite Reaktion: minimal.
Bei KelpDAO war der Drain kleiner. Die Reaktion war 45-mal größer. Der Unterschied: rsETH war geteilte Sicherheit über viele Protokolle. Wenn eine geteilte Sicherheit toxisch wird, gehen alle Halter gleichzeitig zum Ausgang.
Das ist das Archegos-Pattern: ein Counterparty-Kollaps, versteckte Engagements bei mehreren Venues, gleichzeitiges Liquidieren derselben Sicherheit. Die Technologie ist neu, das Muster ist 100 Jahre alt.
Was das für ein Krypto-Portfolio bedeutet
Concentration Risk hat in Krypto mehrere Erscheinungsformen, die viele Portfolios sammeln, ohne es zu merken:
- Asset-Konzentration — alles in einem Token. Wenn dieser Token einen Stress-Event hat, ist alles weg.
- Sicherheits-Konzentration — der gleiche Wrapped-Token oder das gleiche Restaking-Derivat als Sicherheit auf mehreren Lending-Protokollen. Genau das KelpDAO-Muster.
- Strategie-Konzentration — alles in einer einzigen Strategie. Wenn diese Strategie auf einen Markt-Regime-Wechsel trifft, dem sie nicht gewachsen ist, gibt es keinen Puffer.
- Kontrahenten-Konzentration — alles auf einer Börse, in einem DeFi-Protokoll, an einer Bridge.
Genau dafür sind Multi-Asset-Backtests gemacht. Wer eine Strategie nur auf BTC testet, lernt nichts darüber, wie sie sich verhält, wenn der relevante Asset-Markt unter Stress kommt. Wer eine Strategie auf 50 Coins gleichzeitig testet, sieht das Verhaltensprofil — bei welcher Art von Markt-Stress sie schützt, bei welcher sie versagt.
Unser RSI/SMA-Report über die Binance Top 50 zeigt das eindeutig. Die Strategie performt drastisch unterschiedlich in drei Marktregimen. Auf Bull-Assets ergänzt sie moderat. Auf Sideways-Assets steigert sie konsistent. Auf Bear-Assets — und genau dahin zog der KelpDAO-Schock viele Krypto-Märkte zumindest temporär — schlägt die Strategie Buy & Hold in 96 % der Fälle.
Das ist kein Argument für irgendeine bestimmte Strategie. Es ist ein Argument dafür, das Portfolio-Risiko zu kennen, bevor der nächste KelpDAO-artige Schock passiert. Black-Swan-Events kann man nicht vorhersagen. Aber man kann das eigene Portfolio so testen, dass man weiß, wie es reagieren würde.
Was wahrscheinlich folgt
Drei strukturelle Änderungen sind absehbar:
- Konservativere Collateral-Politik auf Lending-Protokollen, vor allem für synthetische Restaking-Derivate. Die LTVs werden fallen.
- Bridge-Verifier-Standards. Single-Verifier-Setups gehören in 2026 nicht mehr in Production-Code. Das war vor KelpDAO klar; jetzt ist es teuer-klar.
- Reduzierter institutioneller Appetit auf DeFi. JPMorgan-Analysten haben bereits angemerkt, dass wiederholte Exploits institutionelles Interesse belasten und Kapital in Stablecoins verschiebt. DeFi-TVL ist seit Jahresbeginn um über 27 % gefallen.
Das alles macht die Welt für Trader nicht weniger volatil — eher im Gegenteil. Was es macht: Es erhöht den Wert von systematischem Risikomanagement gegenüber Bauchgefühl-Trading. Wer eine Strategie hat, die er kennt, getestet und in mehreren Marktregimen gesehen hat, schläft besser durch eine 48-Stunden-DeFi-Krise.