Wall Street macht Pause: Warum Jefferies sagt, dass der KelpDAO-Hack Krypto für Institutionen um 18 Monate verzögern könnte

Für jeden Dollar, der am 18. April 2026 von KelpDAO gestohlen wurde, verließen innerhalb von achtundvierzig Stunden weitere fünfundvierzig Dollar den DeFi-Sektor. Dieses Verhältnis – und nicht die Schlagzeile über die 292 Millionen Dollar – landete eine Woche später auf den Schreibtischen der Risikooffiziere der Banken. Es ist die Zahl, auf die sich die Analysten von Jefferies stützten, als sie argumentierten, dass Großbanken nun möglicherweise ihre gesamte Blockchain-Roadmap für 2026–2027 neu entwerfen müssen.

Die am 21. April veröffentlichte Mitteilung von Jefferies sagte nicht das Ende der Tokenisierung voraus. Sie prognostizierte etwas Subtileres und wohl auch Schädlicheres: eine stille, institutionsweite Pause. Eine Neubewertung der Frage, welche DeFi-Protokolle tatsächlich als Sicherheiten-Infrastruktur für Billionen schwere Real-World-Asset-Produkte fungieren können. Eine Abrechnung mit der Kluft zwischen dem, was Audits beweisen können, und dem, was Protokolle tatsächlich tun, sobald sie kontinuierlich aktualisiert werden. Und möglicherweise eine Verzögerung der On-Chain-Ambitionen von BNY Mellon, State Street, Goldman Sachs und HSBC um 12 bis 18 Monate.

Dies ist die Geschichte davon, wie ein Bridge-Exploit, ein einzelner falsch konfigurierter Verifizierer und eine Ansteckungsrate von 45 zu 1 den institutionellen Zeitplan zurücksetzten.

Die Anatomie eines 292-Millionen-Dollar-Abflusses

Der KelpDAO-Vorfall war, genau genommen, kein Smart-Contract-Hack. Es handelte sich um eine Kompromittierung der Off-Chain-Infrastruktur, die eine einzelne Schwachstelle ausnutzte, von deren Existenz die meisten Menschen nichts wussten.

Die rsETH-Bridge von KelpDAO war mit einem einzigen Verifizierer konfiguriert – dem LayerZero Labs DVN (Decentralized Verifier Network). Ein Verifizierer, eine Signatur, ein Engpass. Angreifer, die später von LayerZero der Lazarus Group aus Nordkorea zugeordnet wurden, kompromittierten Berichten zufolge zwei der RPC-Nodes, auf die sich der Verifizierer verließ, um Cross-Chain-Nachrichten zu bestätigen. Die bösartige Binärdatei, die auf diese Nodes aufgespielt wurde, teilte dem Verifizierer mit, dass eine betrügerische Transaktion echt sei. 116.500 rsETH – rund 292 Millionen Dollar – verließen die Bridge über 20 Chains hinweg.

KelpDAO und LayerZero gaben sich gegenseitig die Schuld. Kelp argumentierte, dass der eigene Quickstart-Guide und die Standard-GitHub-Konfiguration von LayerZero auf ein 1-von-1-DVN-Setup hinwiesen, und merkte an, dass 40 % der Protokolle auf LayerZero dieselbe Konfiguration verwenden. LayerZero argumentierte, dass Kelp sich dagegen entschieden habe, einen zweiten DVN hinzuzufügen. Beide Punkte sind gleichzeitig wahr und für die Banken, die den Post-Mortem-Bericht lesen, nebensächlich. Die Lektion, die die institutionellen Custody-Desks mitnahmen, war einfacher: Die am sichersten aussehende Konfiguration in der Dokumentation war nicht sicher.

KelpDAO gelang es immerhin, Verträge zu pausieren, um einen anschließenden Diebstahlsversuch von 95 Millionen Dollar zu blockieren, und der Arbitrum Security Council fror über 30.000 ETH im weiteren Verlauf ein. Aber der eigentliche Schaden war bereits eine Ebene höher im Stack angelangt.

Die 45:1-Ansteckungskaskade

Innerhalb weniger Stunden nach dem Bridge-Abfluss begannen die Angreifer, das gestohlene rsETH als Sicherheit auf Aave V3 zu hinterlegen. Sie liehen sich dagegen Kapital und hinterließen Aave mit rund 196 Millionen Dollar an konzentrierten uneinbringlichen Forderungen im Paar rsETH–Wrapped Ether auf Ethereum.

Was als Nächstes geschah, war Reflexivität im großen Stil. Der TVL (Total Value Locked) von Aave fiel innerhalb von 48 Stunden um etwa 6,6 Milliarden Dollar. Im gesamten DeFi-Sektor sank der TVL um etwa 14 Milliarden Dollar auf rund 85 Milliarden Dollar – den niedrigsten Stand seit einem Jahr und etwa 50 % unter den Höchstständen vom Oktober. Ein Großteil dieser Abwanderung war eher die Auflösung gehebelter Positionen als echte Kapitalvernichtung, aber die Botschaft war dieselbe: Ein Diebstahl von 292 Millionen Dollar führte zu TVL-Abflüssen von 13,21 Milliarden Dollar. Eine Ansteckungsrate von 45 zu 1.

Für einen Custody-Desk, der Aave als Infrastruktur für Sicherheiten für tokenisierte Geldmarktfonds bewertet, ist die Mathematik unmöglich zu ignorieren. Die These von der „Blue-Chip-Sicherheit“ geht davon aus, dass Liquidität Schocks absorbiert. Die Kaskade vom April 2026 zeigte, dass die Liquidität flieht, sobald Schocks eintreten.

Es kam noch schlimmer: Die Umbrella-Reserve von Aave war Berichten zufolge nicht ausreichend, um das Defizit zu decken, was die Möglichkeit eröffnete, dass stkAAVE-Halter selbst die Verluste auffangen müssten. Das Protokoll sammelte daraufhin 161 Millionen Dollar an frischem Kapital ein, um das Loch abzusichern. Für Beobachter aus dem traditionellen Finanzwesen (TradFi) sah die Abfolge – Exploit, uneinbringliche Forderungen, Reserveunterdeckung, Notfallfinanzierung – unangenehm wie ein Bankrun mit zusätzlichen Schritten aus.

Das Muster, das Jefferies wirklich interessiert

Andrew Moss, der Analyst von Jefferies, schrieb die Mitteilung nicht wegen einer einzigen Bridge. Er schrieb sie aufgrund von drei Vorfällen innerhalb von drei Wochen.

• 22. März 2026 — Resolv: Ein Angreifer kompromittierte die AWS Key Management Service-Umgebung von Resolv und nutzte den privilegierten Signierschlüssel des Protokolls, um 80 Millionen USR-Token zu prägen, wobei etwa 25 Millionen Dollar extrahiert wurden und der Stablecoin seinen Peg verlor.
• 1. April 2026 — Drift: Angreifer verbrachten Monate mit Social Engineering gegen das Team von Drift und nutzten das „Durable Nonces“-Feature von Solana aus, um Mitglieder des Security Councils dazu zu bringen, unwissentlich Transaktionen vorab zu signieren. Schließlich setzten sie einen wertlosen Fake-Token (CVT) als Sicherheit auf die Whitelist und entzogen 285 Millionen Dollar an realen Vermögenswerten.
• 18. April 2026 — KelpDAO: Kompromittierte RPC-Nodes unter einem 1-von-1-Verifizierer-Setup, 292 Millionen Dollar weg.

Drei verschiedene Protokolle, drei verschiedene Chains, drei verschiedene Angriffsflächen – aber ein gemeinsames Thema: Keiner dieser Fehler lag im On-Chain-Code, den die Auditoren überprüft hatten. Sie lagen in der Cloud-Infrastruktur, dem Off-Chain-Governance-Prozess, den Upgrade-Verfahren und den Standardkonfigurationen, die knapp außerhalb der Audit-Grenzen lagen.

Jefferies bezeichnete dies als die prägende Angriffsklasse des Jahres 2026: durch Upgrades eingeführte Schwachstellen. Jedes routinemäßige Protokoll-Upgrade ändert stillschweigend die Vertrauensannahmen, die das vorherige Audit gegen den vorherigen Code validiert hat. Für institutionelle Risikomanager – diejenigen, deren Job es ist, ein Memo zu schreiben, in dem steht: „Dies ist sicher genug, um 5 Milliarden Dollar an Pensionsfondsvermögen dagegen zu halten“ – ist das eine erkenntnisreiche Katastrophe. Dem Audit-basierten Risikorahmen, den sie seit zwei Jahren im Stillen aufbauen, wurde gerade mitgeteilt, dass er das Falsche gemessen hat.

Warum dies den Wall Street Kalender trifft

Die Jefferies-Diese besagt nicht, dass die Tokenisierung scheitert. Sie besagt vielmehr, dass der Teil der Tokenisierung, der von der DeFi-Komponierbarkeit (Composability) abhängt, zeitlich nach hinten verschoben wird.

Um zu verstehen, warum, betrachten wir die institutionelle Roadmap, wie sie am 17. April 2026 bestand:

• BlackRock BUIDL war auf etwa $ 1,9 Milliarden angewachsen und auf Ethereum, Arbitrum, Aptos, Avalanche, Optimism, Polygon, Solana und der BNB Chain im Einsatz. Er wurde bereits als Sicherheit (Collateral) auf Binance akzeptiert.
• Franklin Templeton BENJI weitete sein On-Chain-Engagement in US-Staatsanleihen mit FOBXX als Basiswert weiter aus.
• Apollo ACRED wurde auf Plume bereitgestellt und als Sicherheit auf Morpho aktiviert – eine explizite Wette darauf, dass institutionelle Kredite On-Chain beliehen werden können.
• Tokenisierte US-Staatsanleihen waren von $8,9 Milliarden im Januar 2026 auf mehr als$ 11 Milliarden im März angewachsen. Tokenisierte Privatkredite überschritten die Marke von $12 Milliarden. Der gesamte RWA-Markt auf öffentlichen Blockchains überschritt$ 209,6 Milliarden, wovon 61 % auf dem Ethereum Mainnet lagen.

Das entscheidende Detail: Nahezu alle interessanten Punkte der institutionellen Roadmap – die Nutzung von BUIDL oder ACRED als beleihbare Sicherheiten, der Aufbau renditeträchtiger strukturierter Produkte auf Basis tokenisierter Staatsanleihen, die Integration tokenisierter Geldmarktfonds in das Prime-Brokerage – hängen von etwas anderem als nur dem RWA-Token selbst ab. Sie hängen von einer funktionierenden DeFi-Ebene darunter ab.

Diese Ebene hat im April 2026 gerade ihre Reflexivität unter Beweis gestellt. Wenn Aave innerhalb von 48 Stunden Einlagen in Höhe von $10 Milliarden verlieren kann, nachdem es bei einem anderen Protokoll zu einem Exploit in Höhe von$ 292 Mio. kam, dann ist "Blue-Chip-DeFi" kein Schutzwall – sondern ein Übertragungsmechanismus. Und institutionelle Produkte, die auf Übertragungsmechanismen aufbauen, benötigen 6 bis 18 Monate zusätzliche unabhängige Infrastrukturarbeit oder müssen als rein zugangsbeschränkte (Permissioned) Handelsplätze neu konzipiert werden.

Das ist die Verzögerung, die Jefferies in seine Prognosen einpreist.

Das Gegenargument: Tokenisierung ohne DeFi

Es gibt ein stichhaltiges Argument, dass die Jefferies-Notiz die institutionellen Auswirkungen überbewertet. Der Großteil der On-Chain-RWAs im Wert von $ 209,6 Milliarden befindet sich auf dem Ethereum Mainnet und nicht innerhalb von DeFi-Protokollen. Die Inhaber von BlackRock BUIDL sind zumeist institutionelle Käufer, die nie die Absicht hatten, diese auf Aave zu hebeln. Das Onyx-Netzwerk von JPMorgan und der Desk für tokenisierte Vermögenswerte von Goldman Sachs agieren primär in zugangsbeschränkten Umgebungen. Die Geschichte der "DeFi-Komponierbarkeit" war schon immer ein kleinerer Teil der institutionellen Akzeptanz, als Krypto-native Kommentatoren annehmen.

Wenn man diesen Rahmen akzeptiert, wird die Jefferies-Notiz eher zu einem "Freifahrtschein" für Verzögerungen als zu einem Wendepunkt – Wall-Street-Risikoausschüsse, die der DeFi-Komponierbarkeit gegenüber skeptisch eingestellt waren, nutzen die Notiz, um eine Verzögerung zu formalisieren, die sie ohnehin stillschweigend vorgenommen hätten. Die Tokenisierung selbst schreitet voran. Die Pilotprogramme werden fortgesetzt. Die Schlagzeilen über Billionen-Dollar-Marktwerte ändern sich kaum.

Die ehrliche Antwort ist wahrscheinlich beides gleichzeitig: Die Tokenisierung geht weiter, aber der interessante Teil der Tokenisierung – der Teil, in dem On-Chain-Assets zu komponierbaren Sicherheiten werden, in dem strukturierte Produkte auf erlaubnisfreien (Permissionless) Schienen aufgebaut werden und in dem die Effizienzgewinne von programmierbarem Geld tatsächlich in Erscheinung treten – verschiebt sich nach hinten.

Was Institutionen tatsächlich ändern werden

Liest man zwischen den Zeilen der Jefferies-Notiz und der öffentlichen Erklärungen großer Verwahrstellen, zeichnen sich für die nächsten sechs Monate drei konkrete Verschiebungen ab.

Erstens: Der Prüfungsumfang (Audit-Scope) erweitert sich über Smart Contracts hinaus. Wie ein Experte nach dem Drift-Exploit sagte: "Prüfen Sie die Admin-Keys, nicht nur den Code." Es ist zu erwarten, dass die institutionelle Due Diligence beginnt, Cloud-Sicherheitsaudits, Überprüfungen von Schlüsselmanagement-Verfahren, Analysen von Governance-Angriffsvektoren und kontinuierliche Re-Attestierungen nach jedem Protokoll-Upgrade einzufordern. Die spezialisierte Branche der Code-Auditoren wird eine Schwesterbranche für betriebliche Auditoren hervorbringen.

Zweitens: Zugangsbeschränkte (Permissioned) Handelsplätze werden beschleunigt. Banken, die geplant hatten, Aave oder Morpho als Infrastruktur für Sicherheiten zu nutzen, leiten ihre Entwicklung diskret in Richtung privater Implementierungen um – rein institutionelle Forks, Whitelist-basierte Lending-Märkte oder bilaterale Repo-Vereinbarungen, die auf denselben Primitiven basieren, aber mit bekannten Gegenparteien arbeiten. Dies tauscht Effizienz gegen Kontrolle ein – ein Handel, den institutionelle Risikoexperten sehr gerne eingehen.

Drittens: Single-Verifier-Konfigurationen werden unmöglich umzusetzen. Die Tatsache, dass 40 % der LayerZero-Protokolle mit 1-von-1 DVN-Setups liefen und dass die Standardkonfiguration dies begünstigte, wird wahrscheinlich zu einem koordinierten Branchendruck führen, Multi-Verifier-Anforderungen als Standard festzulegen. Bridges, die mit sinnvollen Standard-Setups von 2-von-3 oder 3-von-5 Verifizierern ausgeliefert werden, werden die institutionellen Flows übernehmen, für die Single-Verifier-Bridges keine Versicherung erhalten können.

Die historische Analogie

Jefferies stufte den April 2026 als ein weniger schwerwiegendes, aber ähnlich tempobestimmendes Ereignis ein wie den Zusammenbruch von Terra/UST und die Insolvenz von FTX im Jahr 2022. Terra warf die Zeitpläne für die Integration von DeFi und TradFi um etwa 24 Monate zurück. FTX verzögerte die Zeitpläne für die institutionelle Verwahrung um etwa 18 Monate. Die KelpDAO-Sequenz – Bridge-Exploit, Ansteckung der Kreditgeber, Zusammenbruch des Audit-Frameworks – sieht eher nach einem Ereignis aus, das das Tempo speziell für die These von DeFi als institutioneller Infrastruktur um 12 bis 18 Monate verzögert, jedoch nicht für die Tokenisierung im Allgemeinen.

Das ist eine bedeutsame Unterscheidung. Es bedeutet, dass das optimistische Szenario (Bull-Case) für RWAs im Jahr 2027 intakt bleibt. Es bedeutet, dass BUIDL weiter wächst. Es bedeutet, dass das Zahlungsvolumen von Stablecoins weiter steigt. Aber es bedeutet auch, dass die Version von 2026, in der DeFi-Protokolle zum vertrauensminimierten Rückgrat der Billionen-Dollar-Finanzwelt werden, nun frühestens 2027 oder 2028 Realität wird.

Die wahre Lektion

Die unangenehmste Erkenntnis ist, dass DeFi nicht 14 Milliarden Dollar verloren hat, weil es unsicher war. Es verlor 14 Milliarden Dollar, weil es undurchsichtig war, was Sicherheit eigentlich bedeutet. Smart - Contract - Audits sind echt und wertvoll. Sie sind aber auch nur ein kleiner Teil der tatsächlichen Angriffsfläche. Solange Protokolle häufig aktualisiert werden, von Cloud - Infrastrukturen abhängen, privilegierte Signierschlüssel besitzen und Standardkonfigurationen ausliefern, die die Bequemlichkeit der Entwickler über die Vielfalt der Verifizierer stellen, wird das Audit eine Sache validieren, während das tatsächliche Risiko woanders liegt.

Für Entwickler ist dies eine Chance. Die Protokolle, die die institutionelle Pause von 2026 überstehen, werden diejenigen sein, die das schwierigere Problem lösen — diejenigen, die kontinuierliche, überprüfbare Beweise für die operative Integrität erbringen können, anstatt nur ein Snapshot - Audit und eine Hoffnung. Für Institutionen ist der Weg schmaler, aber klarer: Gehen Sie davon aus, dass die DeFi - Komponierbarkeit eine Verzögerung von 12 bis 18 Monaten hat, und bauen Sie in der Zwischenzeit auf erlaubnispflichtige Tokenisierung. Für alle anderen: Wenn Sie das nächste Mal "geprüft" (audited) als einziges Vertrauenssignal sehen, das ein Protokoll bietet, fragen Sie, was die Prüfer nicht untersucht haben.

Diese Frage wird mehr als jeder einzelne Hack den institutionellen Krypto - Stack von 2027 prägen.

---

BlockEden.xyz bietet RPC - und Indexer - Infrastruktur auf Enterprise - Niveau für Entwickler und Institutionen, die auf Sui, Aptos, Ethereum, Solana und über 25 weiteren Chains deployen. Da die Hacks von 2026 die Bedeutung von Verifizierer - Vielfalt und operativer Integrität unterstreichen, erkunden Sie unseren API - Marktplatz, um auf einer Infrastruktur aufzubauen, die mit Blick auf institutionelle Risiken entwickelt wurde.

Quellen

• Kelp DAO - Exploit könnte Großbanken zwingen, ihre Blockchain - Pläne zu überdenken, warnt Jefferies — CoinDesk
• Einblick in den KelpDAO - Bridge - Exploit — Chainalysis
• Kelp DAO behauptet, dass die Standardeinstellungen von LayerZero die Katastrophe verursacht haben — CoinDesk
• LayerZero macht die nordkoreanische Lazarus Group für den 292 Mio. $ KelpDAO - Bridge - Hack verantwortlich — Yahoo Finance
• Aave verzeichnet einen Rückgang des TVL um 6 Milliarden Dollar, da der Kelp - Hack strukturelle Risiken aufzeigt — CoinDesk
• Bitcoin springt über 76.000 $, während DeFi nach dem KelpDAO - Hack einen Abfluss von 14 Milliarden$ erleidet — CoinDesk
• DeFi - Ansteckungsrisiko im Jahr 2026: Einblick in die Kelp DAO–Aave - Krise — FinanceFeeds
• Der Resolv - Hack: Wie ein kompromittierter Schlüssel 23 Millionen Dollar druckte — Chainalysis
• Der Drift - Protokoll - Hack: Wie privilegierter Zugriff zu einem Verlust von 285 Millionen Dollar führte — Chainalysis
• Prüfen Sie Admin - Schlüssel, nicht nur den Code, sagt ein Experte nach dem 200 - Millionen - Dollar - Drift - Exploit — CoinDesk
• BlackRocks BUIDL wird als Sicherheit auf Binance akzeptiert und startet auf der BNB Chain — PR Newswire
• Deep Dive in RWAs: ACRED von Apollo — Substack
• RWA - Tokenisierung im Jahr 2026: Wie Real - World - Assets Onchain wandern — Blocklr