Direkt zum Hauptinhalt

DeFis $ 606 Mio. April: Warum der schlimmste Hack-Monat 2026 nicht an Smart Contracts liegt

· 12 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

In den ersten 18 Tagen des Aprils 2026 entwendeten Angreifer mehr als 606 Mio. auseinemDutzendDeFiProtokollendas3,7fachedergesamtenDiebstahlsummedeserstenQuartals2026inwenigeralsdreiWochen.EswarderschlimmsteMonatfu¨rKryptoDiebstahlseitdem1,5Mrd.aus einem Dutzend DeFi-Protokollen – das 3,7-fache der gesamten Diebstahlsumme des ersten Quartals 2026 in weniger als drei Wochen. Es war der schlimmste Monat für Krypto-Diebstahl seit dem 1,5 Mrd. schweren Bybit-Hack im Februar 2025 und der schädlichste Zeitraum für DeFi im Speziellen seit der Ära der Bridge-Exploits im Jahr 2022.

Aber im Gegensatz zu 2022 wurde fast nichts davon durch einen Bug im Smart Contract verursacht.

Der Kelp DAO Bridge-Drain (292 Mio. ),derOracleundKeyCompromisedesDriftProtocols(285Mio.), der Oracle- und Key-Compromise des Drift Protocols (285 Mio. ) und der AWS-Raub bei Resolv Labs Ende März (25 Mio. $) teilen einen leiseren, unangenehmeren roten Faden: Sie alle wurden durch Änderungen ermöglicht, die ein Protokollteam an seinen eigenen Vertrauensannahmen vorgenommen hat – eine Standardkonfiguration, eine vorunterzeichnete Governance-Migration, ein einzelner Cloud-Key –, die kein Smart-Contract-Auditor Grund gehabt hätte, zu beanstanden. Der April 2026 ist keine Geschichte über Solidity. Es ist eine Geschichte über die operativen Nahtstellen zwischen Code, Infrastruktur und Governance und darüber, was passiert, wenn "Upgrades" zur neuen Angriffsfläche werden.

Ein Monat, schlimmer als das erste Quartal, komprimiert auf 18 Tage

Um zu begreifen, wie anomal der April war, muss man die Zahlen aufschlüsseln.

CertiK bezifferte die Gesamtverluste im ersten Quartal 2026 auf rund 501 Mio. bei145Vorfa¨llenbereitseineerho¨hteZahl,diedurchdiePhishingWelleimJanuarinHo¨hevon370Mio.bei 145 Vorfällen – bereits eine erhöhte Zahl, die durch die Phishing-Welle im Januar in Höhe von 370 Mio. aufgebläht wurde (der damals schlimmste Monat seit 11 Monaten). Der Februar 2026 kühlte auf etwa 26,5 Mio. ab.ImMa¨rzstiegendieVerlustebei20separatenVorfa¨llenwiederauf52Mio.ab. Im März stiegen die Verluste bei 20 separaten Vorfällen wieder auf 52 Mio. an, was PeckShield dazu veranlasste, vor einer "Schatteninfektion" (shadow contagion) zu warnen, da sich bei kleineren DeFi-Plattformen wiederkehrende Angriffsmuster abzeichneten.

Dann begann der 1. April 2026 – der Aprilscherz – mit dem Drift-Exploit, dem zu diesem Zeitpunkt größten Hack des Jahres. Achtzehn Tage später wurde dieser vom Kelp DAO Drain übertroffen. Zusammen übersteigen allein diese beiden Vorfälle 577 Mio. .RechnetmandieNachwirkungenvonResolv,dielaufendenInfrastrukturKompromittierungenunddasDutzendkleinererDeFiVersto¨ßehinzu,diesichindenTrackernvonPeckShieldundSlowMistansammeln,landetmanbeiu¨ber606Mio.. Rechnet man die Nachwirkungen von Resolv, die laufenden Infrastruktur-Kompromittierungen und das Dutzend kleinerer DeFi-Verstöße hinzu, die sich in den Trackern von PeckShield und SlowMist ansammeln, landet man bei über 606 Mio. in etwa einem halben Monat.

Zum Vergleich: Chainalysis meldete für das gesamte Jahr 2025 Krypto-Diebstähle in Höhe von insgesamt 3,4 Mrd. $, wobei sich der Großteil davon auf den Bybit-Hack konzentrierte. Das Tempo vom April 2026 würde, wenn es beibehalten wird, diesen Benchmark noch vor Jahresende locker übertreffen. Die Bedrohung ist nicht im Volumen gewachsen – sie ist in der Konzentration und in der Raffinesse der Angreifer gewachsen.

Drei Hacks, drei kategorisch unterschiedliche Fehlermodi

Was die April-Serie analytisch interessant macht – und nicht nur düster –, ist, dass die drei Vorzeigevorfälle sich sauber drei verschiedenen Angriffsklassen zuordnen lassen. Jeder zielt auf eine andere Ebene des Stacks ab, und jeder ist eine Art von Fehler, für deren Erkennung traditionelle Smart-Contract-Auditoren nicht beauftragt sind.

Klasse 1: Bridge-Konfiguration als neuer Single Point of Failure (Kelp DAO, 292 Mio. $)

Am 18. April entwendete ein Angreifer 116.500 rsETH – etwa 292 Mio. $ – aus der von LayerZero betriebenen Bridge von Kelp DAO. Die Technik, wie sie von CoinDesk und dem Forensik-Team von LayerZero rekonstruiert wurde, nutzte keinen Solidity-Bug aus. Sie nutzte eine Konfigurationsentscheidung aus.

Die Bridge von Kelp lief mit einem Single-Verifier-Setup (1-von-1 DVN). Die Angreifer kompromittierten zwei RPC-Nodes, die diesen Verifier bedienten, nutzten einen koordinierten DDoS-Angriff, um den Verifier in den Failover-Modus zu zwingen, und verwendeten dann die kompromittierten Nodes, um zu bestätigen, dass eine betrügerische Cross-Chain-Nachricht eingetroffen sei. Die Bridge gab die rsETH prompt frei. LayerZero schrieb die Operation der nordkoreanischen Lazarus-Gruppe zu.

Was folgte, war ein öffentlicher Streit um die Schuldfrage, der selbst offenbart, wie fragil die operative Ebene geworden ist. LayerZero argumentierte, dass Kelp davor gewarnt worden sei, eine Multi-Verifier-Konfiguration zu verwenden. Kelp entgegnete, dass das 1-von-1-DVN-Modell der Standard in der eigenen Deployment-Dokumentation von LayerZero für neue OFT-Integrationen sei. Beide Positionen sind technisch gesehen wahr. Der tieferliegende Punkt ist, dass keine Audit-Firma – Certik, OpenZeppelin, Trail of Bits – eine Überprüfung nach dem Motto "Ist Ihre Messaging-Layer-DVN-Konfiguration für den Wert, den Sie überbrücken wollen, angemessen?" als Produkt anbietet. Dieses Gespräch findet in einem Slack-Kanal zwischen zwei Teams statt, nicht in einem Prüfbericht.

Klasse 2: Vorunterzeichnete Governance-Autorisierungen als latente Hintertüren (Drift, 285 Mio. $)

Am 1. April wurden aus dem Drift Protocol – Solanas größter Perp-DEX – in zwölf Minuten etwa 285 Mio. $ entwendet. Der Angriff kombinierte drei Vektoren:

  1. Ein gefälschtes Oracle-Ziel. Der Angreifer prägte ca. 750 Millionen Einheiten eines gefälschten "CarbonVote Tokens" (CVT), stattete einen winzigen Raydium-Pool mit ca. 500 ausundbetriebWashTradingnahe1aus und betrieb Wash-Trading nahe 1, um eine Kurshistorie zu fingieren.
  2. Oracle-Aufnahme. Mit der Zeit wurde dieser fabrizierte Preis von Oracle-Feeds erfasst, wodurch CVT als legitimer notierter Vermögenswert erschien.
  3. Privilegierter Zugriff. Am schädlichsten war, dass der Angreifer zuvor die Multisig-Unterzeichner von Drift mittels Social Engineering dazu gebracht hatte, versteckte Autorisierungen vorab zu unterzeichnen, und eine Security-Council-Migration ohne Timelock die letzte Verzögerungsverteidigung des Protokolls eliminiert hatte.

Mit der aufgeblähten Sicherheitenposition, die gegen das manipulierte Oracle genehmigt worden war, führte der Angreifer 31 schnelle Auszahlungen über USDC, JLP und andere Reserven hinweg aus, bevor ein On-Chain-Monitoring Alarm schlagen konnte.

Zwei Details verdienen Hervorhebung. Erstens schreiben sowohl Elliptic als auch TRM Labs Drift der Lazarus-Gruppe zu, was es zum zweiten DeFi-Kompromiss auf staatlichem Niveau innerhalb von achtzehn Tagen macht. Zweitens ist nicht das Protokoll gescheitert – sondern seine Governance-Struktur. Die Smart Contracts verhielten sich exakt wie konfiguriert. Die Schwachstelle lag im Social Engineering plus einem Governance-Upgrade, das das Timelock entfernte.

Die Reaktion der Solana Foundation war bezeichnend: Sie kündigte innerhalb weniger Tage eine Sicherheitsüberholung an und stellte den Vorfall explizit als Koordinationsproblem zwischen Protokollen und dem Ökosystem dar, anstatt als Solana-Protokoll-Bug. Diese Einordnung ist korrekt. Sie ist aber auch ein Eingeständnis dafür, dass sich die Frontlinie verschoben hat.

Klasse 3: Ein einzelner Cloud-Key sichert einen Stablecoin im Wert von einer halben Milliarde Dollar (Resolv, 25 Mio. $)

Der Vorfall bei Resolv Labs am 22. März ist wertmäßig der kleinste der drei, aber strukturell am aufschlussreichsten. Ein Angreifer, der sich Zugriff auf die AWS Key Management Service (KMS)-Umgebung von Resolv Labs verschafft hatte, nutzte den privilegierten SERVICE_ROLE-Signierschlüssel, um 80 Millionen ungedeckte USR-Stablecoins aus ca. 100.000–200.000 $ an echten USDC-Einlagen zu prägen. Gesamte Cashout-Zeit: 17 Minuten.

Die Schwachstelle lag nicht in den Smart Contracts von Resolv – diese bestanden Audits. Sie bestand darin, dass die privilegierte Minting-Rolle ein einzelnes Externally-Owned Account (EOA) war, keine Multisig, und dessen Schlüssel hinter einem einzigen AWS-Konto lag. Wie Chainalysis es formulierte: „Ein Protokoll mit 500 Mio. $ TVL hatte einen einzigen privaten Schlüssel, der unbegrenztes Minting ermöglichte.“ Ob der ursprüngliche Angriffsvektor Phishing, eine falsch konfigurierte IAM-Policy, kompromittierte Entwickler-Zugangsdaten oder ein Supply-Chain-Angriff war, bleibt unklar – und genau diese Unklarheit ist der Punkt. Die Angriffsfläche des Protokolls war sein DevOps-Perimeter.

Der rote Faden: Upgrades ohne Red-Team-Überprüfung

Bridges, Oracles und Cloud-gesteuerte Signierschlüssel wirken wie völlig unterschiedliche Oberflächen. Doch jeder der Vorfälle im April lässt sich auf dasselbe Betriebsmuster zurückführen: Ein Team führte ein Upgrade durch – an einer Konfiguration, einem Governance-Prozess oder einer Infrastrukturentscheidung –, das die Vertrauensannahmen des Protokolls änderte, und es gab keinen Überprüfungsprozess, der darauf ausgelegt war, die neue Annahme zu erkennen.

Kelp aktualisierte auf ein standardmäßiges DVN-Setup, das LayerZero dokumentiert, aber nicht gegen eine Liquidität von 300 Mio. $ stresstested hatte. Drift rüstete seine Security Council Governance auf, um Timelocks zu entfernen, wodurch genau die Verzögerung eliminiert wurde, die die Social-Engineering-Autorisierungen aufgedeckt hätte. Resolv operationalisierte eine privilegierte Minting-Rolle auf einem einzigen Schlüssel als Teil des normalen Cloud-DevOps.

Genau deshalb hat OWASP „Proxy and Upgradeability Vulnerabilities“ (SC10) als völlig neuen Eintrag in seine Smart Contract Top 10 für 2026 aufgenommen. Das Framework holt endlich dort auf, wo Angreifer bereits agieren. Aber OWASP-Regeln führen sich nicht von selbst aus; sie erfordern eine menschliche Überprüfung, für die die meisten Protokolle noch immer kein Budget einplanen, da das vorherrschende Sicherheitsnarrativ weiterhin lautet: „Wir wurden auditiert.“

Dieses Narrativ ist nun nachweislich unzureichend. Drei der größten Vorfälle des Jahres 2026 bestanden Smart Contract Audits. Die Sicherheitslücke lag woanders.

Der Kapitalabfluss von 13 Mrd. $ und die wahren Kosten von modularem Vertrauen

Der wirtschaftliche Schaden strahlt weit über die gestohlenen Gelder hinaus. Innerhalb von 48 Stunden nach dem Kelp-Abfluss fiel der TVL von Aave um rund 8,45 Milliarden $, und der breitere DeFi-Sektor verlor mehr als 13,2 Milliarden $. Der AAVE-Token fiel um 16–20 %. SparkLend, Fluid und Morpho froren rsETH-bezogene Märkte ein. SparkLend, das vielleicht am stärksten von der Rotation profitierte, gewann rund 668 Millionen $ an neuem Netto-TVL, da Nutzer nach Plattformen mit einfacheren Besicherungsprofilen suchten.

Der Mechanismus hinter der Ansteckung verdient eine explizite Benennung. Nach dem Leeren der Kelp-Bridge nahm der Angreifer das gestohlene rsETH, hinterlegte es als Sicherheit in Aave V3 und nahm Kredite dagegen auf – was rund 196 Millionen $ an uneinbringlichen Schulden (Bad Debt) hinterließ, die in einem einzigen rsETH / Wrapped-Ether-Paar konzentriert waren. Keiner der Kreditmarktplätze, die rsETH als Sicherheit akzeptierten, konnte sehen – aufgrund der Art und Weise, wie sich modulares DeFi zusammensetzt –, dass ihre Absicherung in einer Single-Verifier-Bridge von LayerZero mit einem 1-aus-1-Fehlermodus lag. Als die Bridge fiel, war jeder Marktplatz gleichzeitig demselben Loch ausgesetzt.

Dies ist das Problem der unsichtbaren Kopplung im Herzen der DeFi-Composability. Jedes Protokoll auditiert seine eigenen Verträge. Fast kein Protokoll auditiert die betrieblichen Annahmen der Protokolle, deren Token es als Sicherheit akzeptiert. Die Kaskade vom April 2026 machte diese Lücke für jeden Risikomanager an jedem institutionellen Desk, der derzeit eine DeFi-Integration prüft, sichtbar.

Wie es weitergeht: Vom Audit zur kontinuierlichen betrieblichen Überprüfung

Wenn man der Vorfallserie im April etwas Konstruktives abgewinnen kann, dann, dass sie die nächste Phase der DeFi-Sicherheitsinvestitionen unumgänglich macht. Drei Verschiebungen sind bereits erkennbar:

1. Offenlegung der Bridge-Konfiguration als Grundvoraussetzung. Es ist zu erwarten, dass Liquid Restaking- und Cross-Chain-Protokolle damit beginnen werden, explizite DVN-Konfigurationen, Fallback-Regeln und Verifizierer-Schwellenwerte zu veröffentlichen und zu aktualisieren – so wie heute der Quellcode von Smart Contracts veröffentlicht wird. Konfiguration als erstklassiges Offenlegungsmerkmal ist längst überfällig.

2. Timelock als nicht verhandelbarer Governance-Standard. Branchenanalysen setzen die praktische Mindestverzögerung für Governance-Migrationen konsistent bei 48 Stunden an – lang genug, damit Überwachungssysteme Anomalien erkennen und Nutzer Gelder abheben können. Der Drift-Exploit wird Zero-Timelock-Migrationen bis zum dritten Quartal wahrscheinlich fachlich unvertretbar machen.

3. Verwahrung privilegierter Schlüssel unter formaler Multi-Party Computation (MPC) oder HSM-Kontrollen. Resolvs Single-EOA-Minting-Rolle ist nun ein warnendes Beispiel für die Branche. Protokolle, die über Minting-Autorität verfügen, sollten damit rechnen, dass ihre LPs und institutionellen Integratoren standardmäßig entweder Schwellenwert-Signaturschemata oder hardwareisolierte Schlüsselverwahrung verlangen.

Der tiefgreifende strukturelle Wandel besteht darin, dass das „Audit“ als einmaliges Ergebnis durch eine kontinuierliche betriebliche Überprüfung ersetzt wird – eine fortlaufende Bewertung von Konfigurationen, Governance-Änderungen und Infrastrukturabhängigkeiten, die sich schneller entwickeln, als es ein jährlicher Audit-Rhythmus verfolgen kann. Die Protokolle, die dies am schnellsten verinnerlichen, werden das institutionelle Kapital absorbieren, das derzeit an der Seitenlinie wartet, bis die uneinbringlichen Schulden beglichen sind.

Die Vertrauensfläche hat sich verschoben

Der April 2026 brachte keine neue Klasse von Exploits hervor , sondern bestätigte vielmehr , dass die alten Abwehrmechanismen auf den falschen Perimeter ausgerichtet sind . Smart Contract Audits bleiben notwendig ; sie sind jedoch bei weitem nicht ausreichend . Die Vertrauensfläche in DeFi hat sich nach außen auf Bridge-Konfigurationen , Governance-Strukturen und Cloud-verwaltete Keys ausgeweitet — und Angreifer mit der Geduld und den Ressourcen staatlich geförderter Akteure bearbeiten diesen Perimeter nun systematisch .

Die Protokolle , die die nächste Welle der institutionellen Integration für sich gewinnen werden , sind diejenigen , die ihre operative Aufstellung mit derselben Strenge behandeln , die sie einst für ihren Solidity-Code reserviert haben . Die Teams , die immer noch auf ein ein Jahr altes Audit-PDF als ihre Sicherheitsgeschichte verweisen , sind zunehmend die Teams , die kurz davor stehen , die Schlagzeilen des nächsten Monats zu füllen .

BlockEden.xyz bietet RPC- und Indexing-Infrastruktur auf Enterprise-Niveau für Entwickler , die möchten , dass ihre Abhängigkeiten der unspektakuläre Teil ihres Stacks sind . Erkunden Sie unseren API-Marktplatz , um auf Fundamenten aufzubauen , die für die operative Strenge konzipiert sind , die das Jahr 2026 erfordert .

Share on Twitter