414 Beiträge getaggt mit „DeFi“

Vor zwei Jahren bedeutete der Launch eines Meme-Coins auf Solana, ein Ritual zu akzeptieren: 950 $zu zahlen, um zu Raydium zu migrieren, im ersten Block von Bots gesniped zu werden, zuzusehen, wie der Ersteller nach Abschluss der Bonding Curve alles abverkauft, und weiterzuziehen. Bis April 2026 ist dieses Ritual tot. Pump.fun hat durch Rückkäufe rund 213 Millionen$ in PUMP-Token aus dem Verkehr gezogen, LetsBonk hat in weniger als einem Jahr 64 % des Launchpad-Marktanteils erobert, und beide Plattformen bauen die Meme-Ökonomie im Stillen um Anti-Sniper-Schutz, Umsatzbeteiligung für Ersteller und Reputations-basierte Launches neu auf.

Die 6,7 Milliarden $ schwere Solana-Meme-Markt wird endlich erwachsen – nicht, weil Regulierungsbehörden ihn dazu gezwungen haben, sondern weil zwei konkurrierende Launchpads entdeckt haben, dass Spekulation ohne Vertrauensinfrastruktur sich am Ende selbst verschlingt.

Am 21. April 2026 hörten die beiden größten Prognosemärkte der Welt auf, so zu tun, als seien sie Prognosemärkte. Innerhalb weniger Stunden enthüllten sowohl Polymarket als auch Kalshi Krypto-Perpetual-Futures – die gehebelten, nie auslaufenden Derivate, die Hyperliquid zu einem Kraftpaket mit einem Volumen von 208 Mrd. $ machten und Offshore-Handelsplätze zum Gravitationszentrum des Krypto-Handels verwandelten. Polymarket preschte zuerst mit einer Warteliste für 10-fach gehebelte BTC- und NVDA-Kontrakte vor. Kalshi folgte mit einem Teaser namens „Timeless“, der am 27. April in NYC debütieren sollte.

Es war eine koordinierte Landung am selben Strand – und die Botschaft an Coinbase, Robinhood und Hyperliquid war identisch: Die Hülle des Prognosemarktes war schon immer ein Trojanisches Pferd für etwas Größeres.

Der Tag, an dem Prognosemärkte aufhörten, Prognosemärkte zu sein​

Fünf Jahre lang war das Versprechen von Polymarket und Kalshi simpel: binäre JA / NEIN-Kontrakte auf Ereignisse in der realen Welt. Wird Trump gewinnen? Wird die Fed die Zinsen senken? Werden die Lakers den Spread decken? Jeder Kontrakt wurde zu einem festen Zeitpunkt abgerechnet und zahlte 1 $ oder 0 $ aus. Sauber. Diskret. Rechtlich von Wertpapieren oder Rohstoffen unterschieden.

Perpetual Futures brechen jeden Teil dieses mentalen Modells auf. Es gibt kein Ablaufdatum. Es gibt kein binäres Ergebnis. Es gibt eine kontinuierliche Mark-to-Market-Bewertung, Finanzierungsraten (Funding Rates) und dieselben Mechanismen für gehebelte Liquidationen, die bis Anfang 2026 ein tägliches On-Chain Perp-DEX-Volumen von 10 Milliarden $ ermöglichten. Die Launch-Oberfläche von Polymarket, die in Werbematerialien festgehalten wurde, zeigt Hebelselektoren von 7x bis 10x für Vermögenswerte wie Bitcoin, Nvidia und Gold – Produkte, die in keiner Weise den Wahlwetten ähneln, die die Plattform berühmt gemacht haben.

Die strategische Logik ist brutal. Prognosemärkte sind episodisch – sie spitzen sich um Wahlen, den Super Bowl oder March Madness zu und kehren dann zu einer Basisrate zurück, die ein viel kleineres Geschäft unterstützt, als es Bewertungen von 15 oder 22 Milliarden $ vermuten lassen. Perpetuals sind das Gegenteil: kontinuierlicher Fluss, wiederkehrende Finanzierungszahlungen und ein adressierbarer Gesamtmarkt (TAM), der eher in Billionen als in den 10 – 20 Milliarden $ an jährlichem Volumen für Binärkontrakte gemessen wird, die die gesamte Kategorie der Prognosemärkte generiert.

Beide Unternehmen werden nun mit Multiplikatoren bewertet, die eine Expansion in Derivate zwingend erfordern. Der Pivot ist nicht optional.

Die Zahlen, die den Pivot erzwangen​

Die Wachstumsgeschichte von 2026 ist real. Im März 2026 überschritten Prognosemärkte jede bisherige Schwelle:

• Kalshi: 12,35 Milliarden $ monatliches Volumen
• Polymarket: 10,57 Milliarden $ – der erste Monat über 10 Milliarden $, mehr als das Doppelte des Höhepunkts der Wahlen 2024
• Branchenweit: etwa 24,5 Milliarden $ über alle Plattformen hinweg
• Aktive Nutzer von Polymarket: 768.476 im März, ein Anstieg von 14,4 % gegenüber dem Vormonat

March Madness trieb einen Teil davon an. Krypto- und politische Märkte trugen den Rest bei. Nach jedem historischen Maßstab sind Prognosemärkte keine Nische mehr.

Aber die Bewertungen sind dem Volumen davongelaufen. Polymarket verhandelt über eine Kapitalaufnahme von 400 Millionen $ bei einer Bewertung von 15 Milliarden $, wobei die Intercontinental Exchange – die Muttergesellschaft der NYSE – nach einer frischen Finanzspritze von 600 Millionen $ zusätzlich zu ihrer ursprünglichen Beteiligung von 1 Milliarde $ vom Oktober 2025 bereits mit 1,6 Milliarden $ investiert ist. Kalshi schließt eine Finanzierungsrunde von etwa 1 Milliarde $ bei 22 Milliarden $ ab, wobei Börsengangspläne für Ende 2026 oder 2027 gemeldet werden.

Um diese Zahlen zu rechtfertigen, müssen beide Plattformen den Anteil am Geldbeutel der Nutzer über binäre Kontrakte hinaus erweitern. Der schnellste Weg ist das Cross-Selling ihrer bestehenden Nutzerbasis in ein Produkt, das bereits 10 Milliarden $ am Tag umsetzt – Perpetual Futures.

Die regulatorische Asymmetrie, die das Rennen entscheidet​

Polymarket konnte zuerst starten, weil es im Juli 2025 112 Millionen $ für die Übernahme von QCEX ausgab, einer von der CFTC lizenzierten Derivatebörse und Clearingstelle. Bis September 2025 erließ die CFTC eine geänderte Anordnung (Amended Order of Designation), die Polymarket als Designated Contract Market (DCM) anerkannte. Im November 2025 autorisierte eine weitere Änderung den vermittelten Handel – was es Polymarket ermöglichte, FCMs, Brokerhäuser und institutionelle Ströme unter demselben bundesstaatlichen Rahmenwerk einzubinden, das auch CME-Futures regelt.

Kalshi ist schon länger ein von der CFTC benannter DCM. Aber es muss eine andere Hürde nehmen: Perpetuals als Ereigniskontrakte (seine native regulatorische Kategorie) zu positionieren und nicht als gehebelte Krypto-Derivate, die historisch eine separate CFTC-Zulassung erforderten. Der CFTC-Vorsitzende Michael Selig signalisierte im März 2026, dass die Behörde beabsichtige, „echte Perpetual Futures“ für digitale Vermögenswerte in den Vereinigten Staaten zuzulassen – ein grünes Licht, das beide Plattformen offenbar als Startschuss verstanden haben.

Die regulatorische Asymmetrie gegenüber etablierten Akteuren ist enorm:

• Hyperliquid, dYdX, GMX: Operieren offshore oder in regulatorischen Grauzonen. Kein US-Einzelhandel. Keine FCM-Anbindungen.
• Binance, OKX, Bybit: Nach den Strafverfolgungsmaßnahmen von 2023 – 2024 dauerhaft von US-Perpetuals ausgeschlossen.
• Coinbase, Kraken, Robinhood: Verfügen über Spot-Krypto und haben Prognosemarkt-Module hinzugefügt, besitzen aber keinen CFTC-DCM-Status für Perpetual Futures.
• Polymarket und Kalshi: Native CFTC-DCMs mit der Erlaubnis, Kontrakte zu listen, die Wettbewerber dem US-Einzelhandel nicht legal anbieten können.

Zum ersten Mal seit der ICO-Ära von 2017 schicken sich zwei von der CFTC regulierte Handelsplätze an, etwas anzubieten, woran das gesamte krypto-native Perpetual-Ökosystem im Inland gehindert wurde: gehebelte Perps für den US-Einzelhandel mit Bank-Standard-Anbindungen und FCM-Verwahrung.

Warum Hyperliquid besorgt sein sollte – und warum es das wahrscheinlich (noch) nicht ist​

Hyperliquids Zahlen für 2026 sind atemberaubend. Die Plattform kontrolliert etwa 44 % des gesamten Perpetual-DEX-Volumens, nachdem sie seit Januar von 36,4 % gestiegen ist, während jeder große Konkurrent Anteile verlor. Aster fiel von 30,3 % auf 20,9 %. dYdX, GMX, Jupiter und Drift liegen jeweils unter 3 %. Hyperliquid verzeichnet ein 30-Tage-Volumen von 208 Milliarden $, ein tägliches Volumen, das regelmäßig über 8 Milliarden$ liegt, mehr als 229.000 aktive Trader und einen TVL von 6,2 Milliarden $. Es ist nach jedem Maßstab der dominierende On-Chain-Perp-Handelsplatz der Welt.

Polymarket und Kalshi werden Hyperliquid bis zum nächsten Quartal nicht verdrängen. Der Vorsprung von Hyperliquid ist technischer Natur: tiefe Orderbücher, die von Market Makern im HFT-Stil aufgebaut wurden, Matching im Sub-Millisekundenbereich auf der eigenen L1 und eine Gebührenstruktur, die zentralisierte Börsen mit Vampir-Angriffen attackiert. Den meisten Krypto-Perp-Tradern im Retail-Bereich geht es vor allem um Liquidität und Slippage, und Hyperliquid gewinnt in beiden Punkten.

Doch das langfristige Spiel sieht anders aus. Polymarket und Kalshi jagen nicht dem bestehenden Krypto-Perp-Trader hinterher. Sie bringen Perpetual Futures zu zwei völlig neuen Zielgruppen:

1. Politisch engagierte Retail-Nutzer, die wegen der Wahlen kamen und wegen des Sports blieben – Millionen von Nutzern, die noch nie ein Coinbase-Pro-Konto eröffnet haben, geschweige denn USDC zu Arbitrum gebridget haben, um auf einem Perp-DEX zu handeln.
2. Aktien-interessierte „Normies“, die Ticker wie NVDA erkennen, aber dezentrale Perps für unbegreiflich halten.

Wenn auch nur 5 % der 768.000 monatlich aktiven Nutzer von Polymarket einmal pro Woche mit 10x BTC-Perpetuals handeln, ist das ein neuer Milliarden-Dollar-Flow, der im letzten Quartal noch nicht existierte – und er stammt nicht aus dem bestehenden Orderbuch von Hyperliquid. Er kommt von einer Bevölkerungsschicht, die die Perp-DEX-Kategorie nie erreicht hat.

Die Bedrohung für Hyperliquid ist nicht die Verdrängung. Es ist das langsamere, gefährlichere Problem: ein von der CFTC zugelassener Konkurrent, der im Fernsehen werben kann, sich in FCMs integriert und ACH-Einzahlungen akzeptiert, während er dasselbe Produkt anbietet, das Hyperliquid in einem regulatorischen Ghetto aus Übersee-IPs und krypto-nativen Nutzern anbietet.

Die Robinhood-Lektion – Und warum Polymarket sie nicht wiederholen wird​

Skeptiker werden auf Robinhoods Vorstoß in Ereigniskontrakte im Jahr 2024 als warnendes Beispiel verweisen. Robinhood startete den ereignisgesteuerten Prognosehandel und gewann nie nennenswerte Zugkraft gegen Polymarket oder Kalshi, die bereits ein treues Publikum und einen schärferen Product-Market-Fit hatten. Crypto.com, Gemini und Coinbase starteten 2025 alle Prognosemarkt-Sparten mit ähnlich verhaltenen Ergebnissen.

Der umgekehrte Schwenk – von Prognosemarkt-Native zu Perps – hat strukturelle Vorteile, die Robinhoods Schritt fehlten:

• Die Nutzerbasis spekuliert bereits. Der durchschnittliche Polymarket-Nutzer fühlt sich wohl mit Positionen, die sich wie Hebel anfühlen, bei denen ein 0,30 $Kontrakt 1$ auszahlen kann. Der Schritt zu 10x BTC-Perpetuals ist ein kleinerer kognitiver Sprung, als einen Robinhood-Aktienkäufer zu bitten, auf die Wahlbeteiligung beim Iowa-Caucus zu wetten.
• Die Markenberechtigung existiert bereits. Polymarket und Kalshi sind als Orte bekannt, an denen man echtes Geld auf ungewisse Ausgänge setzt. Das ist genau die Marke, die eine Perp-Börse braucht.
• Die regulatorische Infrastruktur ist identisch. Ein DCM, der Ereigniskontrakte listen kann, kann auch andere von der CFTC zugelassene Derivate mit vergleichsweise geringem zusätzlichem Genehmigungsaufwand listen. Polymarket und Kalshi haben zwei Jahre lang darauf hingearbeitet.

Dies ist auch der Grund, warum die Prognosemarkt-Starts von Coinbase und Crypto.com ins Leere liefen: Eine Spot-Krypto-Börse, die Nutzer bittet, plötzlich binäre Ergebnisse zu handeln, ist eine Markendehnung in die falsche Richtung. Ein Prognosemarkt-Anbieter, der gehebelten Handel anbietet, ist eine Markenerweiterung, kein Widerspruch.

Die reale Wettbewerbskarte: Drei Stufen, drei verschiedene Endspiele​

Die Ankündigungen vom 21. April schaffen einen dreistufigen Markt, der vor einer Woche noch nicht existierte:

Stufe 1 – Offshore krypto-native Perps: Hyperliquid, Aster, edgeX, Lighter, dYdX. Tiefste Liquidität, niedrigste Gebühren, kein US-regulatorischer Schutz, keine Werbefläche und eine harte Obergrenze bei der Wallet-nativen Trader-Population.

Stufe 2 – US-regulierte CFTC-DCMs: Polymarket und Kalshi. Kleinere anfängliche Liquidität, höhere Gebühren, voller Zugang für US-Retail-Kunden, FCM / Brokerage-Integration und die Fähigkeit, Nutzer über traditionelle Marketingkanäle zu gewinnen, die krypto-native Plattformen rechtlich nicht nutzen dürfen.

Stufe 3 – Hybride zentralisierte Börsen: Coinbase, Robinhood, Kraken, CME. Verfügen entweder über Spot-Krypto oder Futures oder beides, aber über kein natives Prognosemarkt-Produkt und noch keine Erlaubnis, die gehebelten Krypto-Perpetuals anzubieten, die Polymarket und Kalshi gerade gestartet haben.

Jede Stufe zielt auf ein anderes Endspiel ab. Stufe 1 möchte das Ziel für anspruchsvolle Trader weltweit bleiben. Stufe 2 möchte das Robinhood der Derivate werden – der Ort, an dem US-Retail-Kunden zum ersten Mal gehebelte Kryptowährungen entdecken. Stufe 3 wird wahrscheinlich aggressiv für ähnliche Perpetual-Genehmigungen lobbyieren und währenddessen versuchen, sich durch Akquisitionen oder Partnerschaften in die Prognosemarkt-Ebene einzukaufen.

Die interessante Frage ist nicht, wer insgesamt gewinnt, sondern ob die drei Stufen getrennt bleiben oder ob eine die anderen konsolidiert.

Was dies für Entwickler und Infrastruktur bedeutet​

Wenn Sie irgendetwas im Bereich Prognosemärkte oder Derivate-Stack aufbauen, setzen die Ankündigungen vom 21. April die strategische Landschaft zurück:

• Liquiditäts-Routing über binäre und Perpetual-Märkte wird zu einer echten Produktoberfläche. Anspruchsvolle Nutzer werden dieselbe Ansicht (z. B. den Bitcoin-Preis in sechs Monaten) über das Instrument ausdrücken wollen, das den besseren Vorteil bietet: eine Polymarket-Binäroption, eine Perp-Position oder beides.
• CFTC-DCM-as-a-Service ist jetzt ein Flaschenhals. Nur wenige Einheiten verfügen darüber; jeder will es. Erwarten Sie M&A-Aktivitäten.
• Settlement- und Oracle-Infrastruktur sowohl für die Ereignisauflösung als auch für das kontinuierliche Mark-to-Market konvergieren. Dieselben Daten-Feeds, die einen binären Kontrakt bei Polymarket auflösen, werden umfunktioniert, um eine Perpetual-Position zu markieren.
• Bridges zwischen Off-Chain-regulierten Handelsplätzen und On-Chain-Wallets werden wertvoller, nicht weniger. Selbst US-Retail-Kunden, die Perps über Polymarket entdecken, werden zunehmend die Selbstverwahrung ihrer Stablecoin-Sicherheiten wünschen, was Anforderungen stellt, die On-Chain- und Off-Chain-Schienen umspannen.

Die entscheidende technische Frage ist, ob Polymarket und Kalshi eine Ausführung auf Hyperliquid-Niveau liefern können. Wenn sie das nicht können – wenn die Liquidität gering ist, die Slippage schlecht ist und der Funding-Mechanismus vorhersehbare Arbitrage für krypto-native Trader schafft –, scheitert der Schwenk an den technischen Gegebenheiten, und der Schwenk zum Prognosemarkt wird eher zu einem warnenden Beispiel als zu einer Disruption der Kategorie.

Das Fazit: Pivot oder Premium?​

Das Bullen-Szenario für beide Plattformen: Gehebelte Perps katapultieren sie von einem jährlichen Volumen binärer Kontrakte in Höhe von 10 bis 20 Milliarden $in den globalen Derivatemarkt von über 1 Billion$. Selbst wenn nur 1 % dieses Zuflusses erfasst würde, rechtfertigte dies allein eine Bewertung von 15 Milliarden $oder 22 Milliarden$, noch bevor das Cross-Selling zurück in die Prognosemärkte berücksichtigt wird, das durch die Perp-Aktivität generiert wird.

Das Bären-Szenario: Der Liquiditäts-Burggraben von Hyperliquid ist real, krypto-native Trader werden nicht zu einem CFTC-Handelsplatz mit höheren Gebühren abwandern, und die neuen US-Retail-Kunden, die Polymarket und Kalshi anziehen, werden so selten handeln, dass Perpetuals eher zu einem margenschwachen Nebengeschäft als zu einem Kerngeschäft werden.

Die ehrliche Antwort liegt irgendwo dazwischen. Polymarket und Kalshi werden Hyperliquid nicht darin schlagen, Hyperliquid zu sein. Sie wetten darauf, dass sie etwas sein können, das Hyperliquid rechtlich nicht sein darf: ein US-regulierter, markenbewährter und für den Retail-Markt vermarkteter Handelsplatz für den gehebelten Krypto-Handel, der durch die Strafverfolgung 2024–2025 ins Ausland gedrängt wurde. Wenn sie das Produkt erfolgreich umsetzen und die unvermeidliche erste Welle von Liquidationen und Beschwerden überstehen, werden sie den Ort neu definieren, an dem die nächsten 10 Millionen US-Krypto-Derivate-Trader ihr Onboarding erleben.

Der 21. April 2026 wird als der Tag in Erinnerung bleiben, an dem Prognosemärkte aufhörten, eine Nischenkategorie zu sein, und zum Haupteingang für alles andere wurden.

---

BlockEden.xyz treibt die Daten- und Ausführungsinfrastruktur voran, auf die Derivateplattformen, Prognosemärkte und On-Chain-Handelsplattformen angewiesen sind. Ganz gleich, ob Sie Orderbücher, Oracle-Feeds oder Settlement-Strukturen auf Sui, Aptos, Ethereum, Solana und über 25 weiteren Chains aufbauen – erkunden Sie unseren API-Marktplatz für die Zuverlässigkeit, die institutioneller Kapitalfluss erfordert.

Quellen​

• Polymarket führt Handel mit stark gehebelten „Perps“-Kontrakten ein — CNBC
• Kalshi und Polymarket im Rennen um die Einführung von Krypto-Perpetual-Futures — Unchained
• Polymarket in Gesprächen über eine Kapitalbeschaffung von 400 Mio. $bei einer Bewertung von 15 Mrd.$ — Decrypt
• Intercontinental Exchange kündigt neue Investition in Höhe von 600 Millionen $ in Polymarket an
• Kalshi fordert Coinbase und Robinhood mit neuem Plan für Krypto-Perpetual-Futures heraus — CoinDesk
• Polymarket überschreitet im März 2026 zum ersten Mal ein monatliches Volumen von 10 Milliarden $ — BitKE
• Polymarket erwirbt die CFTC-lizenzierte Börse und Clearingstelle QCEX für 112 Millionen $
• Polymarket erhält CFTC-Zulassung für geänderte Zulassungsanordnung, die den intermediären US-Marktzugang ermöglicht
• Hyperliquid erreicht 44 % des gesamten Perp-DEX-Volumens — Yellow.com
• Handel mit DEX-Perpetual-Futures nähert sich im Jahr 2026 täglich 10 Mrd. $ — Phemex News
• Wie Prognosemärkte im Jahr 2026 auf ein monatliches Volumen von 21 Mrd. $ skalierten — TRM Labs

In nur 18 Tagen im April dieses Jahres entwendeten Angreifer 606 Millionen Dollar aus dem DeFi-Sektor. Dieser einzige Zeitraum übertraf die Verluste des ersten Quartals 2026 um das 3,7-fache und machte den Monat zum schlimmsten seit dem Bybit-Raub im Februar 2025. Zwei Protokolle — Drift auf Solana und Kelp DAO auf Ethereum — machten 95 Prozent des Schadens aus. Beide waren auditiert worden. Beide bestanden die statische Analyse. Beide führten Routine-Upgrades durch, die im Stillen die Annahmen entkräfteten, die ihre Auditoren zuvor verifiziert hatten.

Dies ist das neue Gesicht des DeFi-Risikos. Die katastrophalen Exploits von 2026 sind keine Reentrancy-Fehler oder Integer-Overflows mehr, die Fuzzer in der CI aufspüren können. Es geht um durch Upgrades eingeführte Schwachstellen: subtile Änderungen an Bridge-Konfigurationen, Oracle-Quellen, Admin-Rollen oder Messaging-Standardeinstellungen, die zuvor sicheren Code in eine offene Tür verwandeln — ohne dass eine einzige Zeile Solidity offensichtlich falsch aussieht.

Wenn Sie DeFi-Anwendungen entwickeln, verwalten oder einfach nur Assets darin halten, ist die Lehre aus dem April 2026 unbequem: Ein sauberer Audit-Bericht von vor drei Monaten ist kein Beweis mehr dafür, dass ein Protokoll heute sicher ist.

Das April-Muster: Konfiguration, nicht Code​

Um zu verstehen, warum „durch Upgrades eingeführte Fehler“ eine eigene Kategorie verdienen, muss man sich ansehen, wie sich die beiden größten Exploits tatsächlich abgespielt haben.

Drift Protocol — 285 Millionen Dollar, 1. April 2026. Solanas größte Perp-DEX verlor mehr als die Hälfte ihres TVL, nachdem Angreifer sechs Monate lang eine Social-Engineering-Kampagne gegen das Team durchgeführt hatten. Sobald Vertrauen aufgebaut war, nutzten sie das Solana-Feature „durable nonces“ — eine UX-Erleichterung, die es Nutzern ermöglicht, Transaktionen für eine spätere Einreichung vorab zu signieren —, um Mitglieder des Drift Security Council dazu zu verleiten, Signaturen zu autorisieren, die sie für routinemäßige operative Vorgänge hielten. Diese Signaturen übertrugen schließlich die Admin-Kontrolle an die Angreifer, die einen gefälschten Collateral-Token (CVT) auf die Whitelist setzten, 500 Millionen Einheiten davon hinterlegten und 285 Millionen Dollar in echten USDC, SOL und ETH abhoben. Das Solana-Feature funktionierte wie vorgesehen. Die Contracts von Drift taten das, was ihre Admins befahlen. Der Angriff fand vollständig in der Lücke zwischen dem statt, was die Multisig-Unterzeichner zu genehmigen glaubten, und dem, was sie tatsächlich taten.

Kelp DAO — 292 Millionen Dollar, 18. April 2026. Angreifer, die von LayerZero der nordkoreanischen Lazarus-Gruppe zugerechnet wurden, kompromittierten zwei RPC-Nodes, die die Cross-Chain rsETH-Bridge von Kelp stützten, tauschten die darauf laufenden Binärdateien aus und nutzten einen DDoS-Angriff, um ein Verifizierer-Failover zu erzwingen. Die bösartigen Nodes meldeten dem Verifizierer von LayerZero daraufhin, dass eine betrügerische Transaktion stattgefunden habe. Der Exploit funktionierte nur, weil Kelp eine 1-von-1-Verifizierer-Konfiguration verwendete — was bedeutet, dass ein einzelner von LayerZero betriebener DVN die unilaterale Autorität hatte, Cross-Chain-Nachrichten zu bestätigen. Laut LayerZero ist dieses 1-von-1-Setup der Standard in ihrem Quickstart-Guide und wird derzeit von etwa 40 Prozent der Protokolle im Netzwerk verwendet. In 46 Minuten zog ein Angreifer 116.500 rsETH ab — etwa 18 Prozent des gesamten umlaufenden Angebots — und ließ gemappte Sicherheiten auf 20 Chains festsitzen. Aave, das rsETH listet, wurde in eine Liquiditätskrise gezwungen, als die Einleger um den Ausstieg kämpften.

Weder für den einen noch für den anderen Angriff war ein Smart-Contract-Bug erforderlich. Beide setzten das Verständnis voraus, wie eine Konfiguration — Multisig-Signaturabläufe, Standard-DVN-Anzahlen, RPC-Redundanz — stillschweigend von einem „operativen Detail“ zu einer „tragenden Sicherheitsannahme“ erhoben worden war.

Warum statische Audits diese Fehlerklasse übersehen​

Das traditionelle DeFi-Audit ist für das falsche Bedrohungsmodell optimiert. Firmen wie Certik, OpenZeppelin, Trail of Bits und Halborn sind exzellent in der Zeile-für-Zeile-Codeüberprüfung und im Ausführen von Invarianten-Tests gegen eine eingefrorene Contract-Version. Das fängt Reentrancy, Fehler bei der Zugriffskontrolle, Integer-Overflows und Versäumnisse im OWASP-Stil ab.

Doch die Klasse der durch Upgrades eingeführten Fehler weist drei Eigenschaften auf, die diesen Workflow unterlaufen:

1. Sie existiert im zusammengesetzten Laufzeitverhalten, nicht im Quellcode. Die Sicherheit einer Bridge hängt von der Verifizierer-Konfiguration ihrer Messaging-Schicht, dem DVN-Set, der RPC-Redundanz dieser DVNs und dem Slashing-Risiko dieser Betreiber ab. Nichts davon steht in dem Solidity-Code, den ein Auditor liest.

2. Sie wird durch Änderungen eingeführt, nicht durch die Erstbereitstellung. Kelps Bridge sah vermutlich gut aus, als LayerZero v2 zum ersten Mal integriert wurde. Die DVN-Anzahl wurde erst dann gefährlich, als der TVL groß genug war, um einen Angriff lohnenswert zu machen, und als Lazarus in die Kompromittierung der RPC-Infrastruktur investierte.

3. Sie erfordert verhaltensbasiertes Differenzial-Testing — die Beantwortung der Frage: „Wurde Invariante X unter dem neuen Codepfad beibehalten?“ — was keine der großen Audit-Firmen als geplanten Post-Upgrade-Service anbietet. Man erhält ein einmaliges Audit für Version 1.0 und ein separates einmaliges Audit für Version 1.1, aber keine kontinuierliche Bestätigung, dass das Upgrade von 1.0 auf 1.1 keine Eigenschaften bricht, auf die sich 1.0 verlassen hat.

Die Statistiken für das erste Quartal 2026 verdeutlichen diese Lücke. DeFi verzeichnete im gesamten Quartal Verluste in Höhe von 165,5 Millionen Dollar bei 34 Vorfällen. Allein der April verursachte 606 Millionen Dollar in 12 Vorfällen. Die Bereitstellungsseite skalierte — im ersten Quartal kamen über 40 Milliarden Dollar an neuem TVL hinzu —, während die Audit-Kapazitäten, die Reaktion auf Vorfälle und die Validierung nach der Bereitstellung weitgehend stagnierten. Irgendetwas musste nachgeben.

Drei Kräfte , die 2026 zum Jahr machen , in dem dies massenhaft zuschlägt​

1 . Die Upgrade-Kadenz hat sich auf jeder Ebene beschleunigt​

Jedes L1 und L2 iteriert schneller . Das Pectra-Upgrade von Ethereum befindet sich im aktiven Rollout , Fusaka und Glamsterdam sind im Design , und Solana , Sui und Aptos liefern alle Änderungen an der Execution-Layer in mehrwöchigen Zyklen aus . Jedes Upgrade auf Chain-Ebene kann die Gas-Semantik , Signaturschemata oder die Transaktionsreihenfolge auf eine Weise subtil verschieben , die sich auf die Annahmen der Applikationsschicht auswirkt . Der Exploit von Drift ist ein klares Beispiel — ein Solana-Feature ( Durable Nonces ) , das für den UX-Komfort gedacht war , wurde zum Träger für eine Admin-Übernahme .

2 . Restaking vergrößert die Upgrade-Angriffsfläche​

Der Restaking-Stack — EigenLayer ( immer noch über 80 Prozent des Marktes ) , Symbiotic , Karak , Babylon , Solayer — fügt dem Problem eine dritte Dimension hinzu . Ein einzelnes LRT wie rsETH sitzt auf EigenLayer , das wiederum auf nativem ETH-Staking sitzt . Jede Ebene liefert ihre eigenen Upgrades nach ihrem eigenen Zeitplan aus . Eine Änderung der Slashing-Semantik von EigenLayer hat implizite Folgen für jeden Operator und jedes LRT , das die Validierung dieses Operators nutzt . Als die Bridge von Kelp geleert wurde , bedrohte die Ansteckung sofort den TVL von EigenLayer , da dieselben Einleger ein dreistufiges Rehypothekarisierungs-Risiko hatten , zu dessen Modellierung sie nie gezwungen worden waren . Die Roadmap von EigenCloud mit den bevorstehenden Erweiterungen EigenDA , EigenCompute und EigenVerify wird diese Angriffsfläche nur noch weiter vergrößern .

3 . KI-gesteuerte DeFi-Aktivitäten bewegen sich schneller als menschliche Überprüfungen​

Agent-Stacks wie XION , Brahma Console und Giza interagieren jetzt mit Maschinengeschwindigkeit mit aktualisierten Verträgen . Wo ein menschlicher Schatzmeister nach einem Vertrags-Upgrade vielleicht Tage warten würde , bevor er sich erneut engagiert , testet ein Agent es back , integriert es und leitet Kapital innerhalb von Stunden hindurch . Jedes Upgrade , das stillschweigend eine Invariante bricht , wird durch gegnerische Flows einem Stresstest unterzogen , bevor ein menschlicher Auditor es erneut prüfen kann .

Die entstehende Verteidigungsarchitektur​

Die ermutigende Nachricht ist , dass die Sicherheitsforschungsgemeinschaft nicht untätig war . Die Verluste vom April 2026 haben konkrete Vorschläge an vier Fronten katalysiert .

Kontinuierliche formale Verifizierung . Die langjährige Zusammenarbeit von Certora mit Aave — finanziert als Zuschuss für kontinuierliche Verifizierung statt als einmaliges Engagement — ist nun eine Vorlage . Der Certora Prover führt automatisch Invarianten-Beweise aus , jedes Mal , wenn sich ein Vertrag ändert , und lässt Brüche vor dem Merge auftauchen . Halmos und HEVM bieten alternative Open-Source-Wege zum gleichen Ziel . Als die formale Verifizierung kürzlich eine Schwachstelle in einer Integration mit dem Electra-Upgrade von Ethereum entdeckte , die herkömmliche Audits übersehen hatten , war dies kein Einzelfall ; es war eine Vorschau .

Upgrade-Diff-Audit-Dienste . Spearbit , Zellic und Cantina haben damit begonnen , kostenpflichtige Dienste zu pilotieren , die den Diff zwischen zwei Vertragsversionen prüfen , nicht die neue Version isoliert . Das Modell behandelt jedes Upgrade als neue Attestierung und prüft explizit , ob frühere Invarianten erhalten bleiben . Das 1-Million-Dollar-Audit-Subventionsprogramm der Ethereum Foundation , das am 14 . April 2026 mit einer Partnerliste gestartet wurde , zu der Certora , Cyfrin , Dedaub , Hacken , Immunefi , Quantstamp , Sherlock , Spearbit , Zellic und Zokyo gehören , zielt teilweise darauf ab , die Kapazitäten für genau diese Art von Arbeit zu erweitern .

Chaos Engineering und Runtime-Monitoring . OpenZeppelin Defender und neue Tools integrieren Simulationen auf geforkten Mainnets in CI-Pipelines , sodass Protokolle gegnerische Szenarien gegen jedes vorgeschlagene Upgrade durchspielen können . Die Disziplin ist direkt aus der Web2 SRE-Praxis entlehnt — und im DeFi-Bereich längst überfällig .

Time-locked Upgrade Escrows . Das Compound Timelock v3-Muster , bei dem jedes von der Governance genehmigte Upgrade für eine festgelegte Verzögerung in einer öffentlichen Warteschlange verbleibt , bevor es ausgeführt wird , gibt der Community Zeit , Probleme zu erkennen , die bei der internen Prüfung übersehen wurden . Es verhindert keine durch Upgrades eingeführten Bugs , erkauft aber Zeit , damit diese vor einer Ausnutzung entdeckt werden können .

Der TradFi-Vergleich : Kontinuierliche Audits sind außerhalb von DeFi die Norm​

Das traditionelle Finanzwesen hat das analoge Problem vor Jahrzehnten gelöst . SOC 2 Type II , der Standard , an den die meisten institutionellen Dienstleister gebunden sind , ist keine einmalige Bescheinigung ; es ist ein sechs- bis zwölfmonatiges kontinuierliches Audit-Fenster . Das Kontrahentenrisiko-Framework von Basel III verlangt von Banken , ihre Kapitalmodelle zu aktualisieren , sobald sich die Risiken ändern , nicht jährlich . Einer Depotbank , die ein Abwicklungssystem aktualisiert , wäre es nicht gestattet , auf der Basis von „ wir haben v1 geprüft ; v2 war nur eine kleine Änderung “ zu arbeiten .

Die vorherrschende Kultur im DeFi-Bereich — „ einmal prüfen , für immer bereitstellen , erneute Prüfung nur bei größeren Neuschreibungen “ — ist genau die Praxis , die TradFi nach der Krise von 2008 ausdrücklich abgelehnt hat . Bei der aktuellen Verlustrate ist die Branche auf dem Weg zu 2 Milliarden Dollar oder mehr an jährlichen Verlusten durch Upgrade-Exploits . Das ist groß genug , um Regulierungsbehörden anzuziehen , die DeFi-Audit-Standards ohnehin als unzureichend betrachten , und es ist groß genug , um eine kontinuierliche Validierung zur Voraussetzung für institutionelles Kapital zu machen .

Was das für Builder , Einleger und die Infrastruktur bedeutet​

Für Protokoll-Teams ist das operative Mandat einfach , auch wenn es nicht billig ist : Jedes Upgrade muss als neues Release behandelt werden , das seine Sicherheitsgarantien neu ableitet und nicht nur erbt . Das bedeutet geplante Re-Audits auf Diff-Basis , Spezifikationen zur formalen Verifizierung , die jedem Governance-Vorschlag beiliegen , und aussagekräftige Timelocks vor der Ausführung . Es bedeutet , — im Stil von Aave — ein quantifiziertes Kaskadenrisiko-Framework zu veröffentlichen , das benennt , von welchen Protokollen man abhängt und wie das Risiko aussieht , wenn eines davon ausfällt .

Für Einleger ist die Lektion , dass „ dieses Protokoll wurde geprüft “ für sich genommen kein nützliches Signal mehr ist . Die richtige Frage lautet : „ Wann fand der letzte kontinuierliche Verifizierungslauf gegen welche Invarianten und auf welcher Version des bereitgestellten Codes statt ? “ Protokolle , die das nicht beantworten können , sollten entsprechend bepreist werden .

Für Infrastrukturanbieter — RPC-Betreiber , Indexer , Custodians — ist der Kelp-Vorfall eine direkte Warnung . Die Kompromittierung fand in zwei RPC-Nodes statt , deren Binärdateien stillschweigend ausgetauscht wurden . Jeder , der Infrastruktur betreibt , die an der Cross-Chain-Verifizierung teilnimmt ( DVNs , Oracle-Nodes , Sequencer ) , ist nun Teil des Sicherheitsmodells , ob er sich dafür angemeldet hat oder nicht . Reproduzierbare Builds , attestierte Binärdateien , Multi-Operator-Quoren anstelle von 1-von-1-Standardeinstellungen und die Verifizierung signierter Binärdateien beim Start sind nicht länger optional .

Upgrades auf Chain-Ebene — Pectra und Fusaka auf Ethereum , Rollouts für parallele Ausführung auf Solana und Aptos , die Durchsatzziele von Glamsterdam — werden die Angriffsfläche weiter vergrößern . Die Protokolle und Infrastrukturbetreiber , die 2026 überleben , werden diejenigen sein , die die kontinuierliche Validierung früh genug eingeführt haben , sodass ihr nächstes Routine-Upgrade auch ihr nächster beweisbarer Sicherheits-Checkpoint ist .

BlockEden . xyz betreibt RPC- , Indexer- und Node-Infrastrukturen in Produktionsumgebungen für Sui , Aptos , Ethereum , Solana und ein Dutzend weiterer Chains . Wir behandeln jedes Protokoll-Upgrade — auf der Chain-Ebene oder der Applikationsebene — als neues Sicherheitsereignis , nicht als Wartungsaufgabe . Erkunden Sie unsere Enterprise-Infrastruktur , um auf einem Fundament aufzubauen , das darauf ausgelegt ist , die kommende Upgrade-Kadenz zu überstehen .

Quellen​

• Cryptos 606 Mio. $ April-Albtraum: 12 Hacks, 18 Tage, schlimmster Monat seit dem Bybit-Raub — CryptoTimes
• 606 Millionen $ verloren: April 2026 wird zum schlimmsten Monat für Krypto-Exploits — Blockonomi
• Kelp DAO für 292 Millionen $ ausgenutzt, wobei Wrapped Ether über 20 Chains gestrandet ist — CoinDesk
• LayerZero macht Kelps Setup für 290-Millionen-$-Exploit verantwortlich und schreibt ihn Nordkoreas Lazarus-Gruppe zu — CoinDesk
• Drift Protocol Hack: Wie privilegierter Zugriff zu einem Verlust von 285 Mio. $ führte — Chainalysis
• Wie Drift-Angreifer mehr als 270 Millionen $ mit einer auf Komfort ausgelegten Solana-Funktion entwendeten — CoinDesk
• Nordkoreanische Hacker greifen Drift Protocol in einem 285-Millionen-USD-Raub an — TRM Labs
• Q1 2026 DeFi Exploit-Musteranalyse: 137 Mio. $ verloren, 5 Angriffsmuster, die jeder Auditor kennen muss — DEV Community
• Die OWASP Smart Contract Top 10: 2026 — DEV Community
• Aave-Certora-Secureum: Eine DeFi-Sicherheitskooperation — Secureum
• Ethereum Foundation finanziert 1 Mio. $ Audit-Programm für Smart-Contract-Entwickler
• Upgradefähige Smart Contracts: Proxies, Patterns, Pitfalls und CI/CD-Schutzmaßnahmen — Octane Security
• 292 Mio. $ Kelp DAO rsETH-Hack löst Aave-Liquiditätskrise aus — CCN
• Über 400 Mio. $ durch DeFi-Exploits im Jahr 2026 verloren — CCN

In der kurzen Geschichte von DeFi war „institutionelle Akzeptanz“ meist nur eine Folie in einem Pitch-Deck. Im April 2026 wurde daraus eine Zahl auf einem Dashboard: Aave Horizon, der Compliance-bewusste Markt des Protokolls für Real-World Assets (RWA), hält nun rund 550 Mio. USD an Nettoneinlagen und steuert auf die 1-Milliarde-Dollar-Marke zu – und das mit einem Produkt, das vor neun Monaten kaum existierte.

Das ist kein Rundungsfehler im Vergleich zum über 26 Mrd. USD schweren Markt für tokenisierte RWA, und es ist nicht die Art von TVL, die man mit einem Punkteprogramm herbeizaubert. Die Sicherheiten von Horizon bestehen aus tokenisierten US-Staatsanleihen, tokenisierten Kreditfonds und kurzfristigen staatlichen Wertpapieren. Die Kreditnehmer sind qualifizierte Institutionen. Die Kreditgeber sind zunehmend alle anderen. Wenn dieses Modell Bestand hat, ist Aave auf die Vorlage gestoßen, nach der jeder „DeFi für TradFi“-Pitch seit 2020 gesucht hat.

Im Januar 2026 verarbeitete eine einzige DEX auf Solana mehr tägliches Volumen als die meisten der Top-20 zentralisierten Börsen.

Ein paar Wochen später betraten die Vorsitzenden von SEC und CFTC gemeinsam die Bühne und unterzeichneten ein Memorandum, in dem sie versprachen, den Streit darüber, wer was reguliert, zu beenden. Und irgendwo dazwischen überschritt das Verhältnis des Spot-Volumens von DEX zu CEX still und leise eine Linie, von der niemand recht glaubte, dass sie jemals überschritten würde.

Den größten Teil der Krypto-Geschichte über war „DEX vs. CEX“ ein Gedankenexperiment, das immer gleich endete: CEXs besitzen die Liquidität, Privatnutzer wollen eine saubere App und Institutionen verlangen Fiat-Anbindungen. DeFi war etwas für Ideologen. Im Jahr 2026 ist dieses Argument nicht mehr nur akademisch. Das strukturelle Unbundling der zentralisierten Börse ist in vollem Gange – und es wird von drei Kräften vorangetrieben, die schließlich zusammenkamen: Chain-abstrahierte Wallets, Intent-basierte Ausführung und eine On-Chain-Liquiditätstiefe, die es mit CEXs der Mittelklasse aufnehmen kann.

Sieben Tage sind eine Ewigkeit im DeFi - Sektor . Das ist länger als der Lebenszyklus der meisten Meme - Coins , länger als die durchschnittliche gehebelte Position und definitiv länger , als jeder Trader warten möchte , um Stablecoins von Arbitrum auf das Ethereum - Mainnet zu transferieren . Dennoch war das 7 - Tage - Challenge - Fenster , das in Optimistic Rollups fest eingebaut ist , still und leise die größte UX - Steuer für die L2 - Adaption – eine Steuer , die durch entgangene Kapitaleffizienz , Liquiditätsfragmentierung und die endlose Ausbreitung von Drittanbieter - Liquiditätspool - Bridges bezahlt wird , die das flicken , was die nativen Protokolle nicht liefern können .

Curves FastBridge ist der bisher ambitionierteste Versuch , diese Steuer auf Protokollebene zu beheben , anstatt sie hinter einer Gebühr zu verstecken . Durch die Einbindung von LayerZero - Messaging in ein Vault - and - Mint - Design verkürzt FastBridge die crvUSD - Transfers von Arbitrum , Optimism und Fraxtal auf etwa 15 Minuten – ohne das Risiko von Liquiditätspools , Bridged - Asset - Wrappers oder Vertrauensannahmen , die die meisten „ schnellen “ Bridges plagen . Es ist ganz nebenbei auch ein Stresstest für die Grenze zwischen Application - Layer - Bridging und Messaging - Layer - Neutralität – eine Grenze , die durch den rsETH - Exploit Mitte April 2026 plötzlich unumgänglich wurde .

Für jeden Dollar, der am 18. April 2026 von KelpDAO gestohlen wurde, flossen weitere 45 $ aus dem DeFi-Bereich ab. Das ist das Verhältnis, auf das die Post-Mortem-Analysen immer wieder zurückkommen – ein Exploit in Höhe von 292 Millionen $, der innerhalb von zwei Tagen eine TVL-Abwanderung von 13 bis 14 Milliarden $ auslöste, den gesamten DeFi-Sektor auf seinen niedrigsten Total Value Locked seit einem Jahr drückte und einen wachsenden Anteil der institutionellen Käuferseite davon überzeugte, dass „Blue-Chip-DeFi“ gar keine Infrastruktur ist, sondern eine reflexive Liquiditätsmembran, die beim ersten korrelierten Schock reißt.

Der Angriff selbst dauerte nur Minuten. Die Nachwirkungen prägen noch immer das Denken von Entwicklern, Auditoren und Kapitalgebern über Cross-Chain-Vertrauen. Und falls die vorläufige Zuordnung von LayerZero Bestand hat, hat dieselbe nordkoreanische Einheit, die 18 Tage zuvor 285 Millionen $ von Drift Protocol abgezogen hat, soeben weitere 292 Millionen $ zu ihrer Beute für 2026 hinzugefügt – womit die bestätigte April-Ausbeute von Lazarus durch zwei strukturell unterschiedliche Angriffsvektoren auf über 575 Millionen $ steigt.

Am 22. März 2026 betrat ein Angreifer Resolv Labs mit 100.000 $in USDC und verließ es mit 25 Millionen$ in ETH. Die Smart Contracts wiesen keine Fehler auf. Das Oracle hat nicht gelogen. Die Delta-neutrale Hedging-Strategie verhielt sich genau wie geplant. Stattdessen gab ein einziger AWS Key Management Service (KMS) Credential – ein Signierschlüssel, der außerhalb der Blockchain existierte – einem Eindringling die Erlaubnis, 80 Millionen ungedeckte USR-Token gegen eine Einzahlung von 100.000 $zu minten. Siebzehn Minuten später war USR von 1,00$ auf 0,025 $ gefallen, ein Absturz um 97,5 %, und Lending-Protokolle im gesamten Ethereum-Ökosystem mussten den Schock absorbieren.

Der Resolv-Vorfall ist nicht bemerkenswert, weil er clever war. Er ist bemerkenswert, weil er es nicht war. Eine fehlende Max-Mint-Prüfung, ein Single Point of Failure im Cloud-Schlüsselmanagement und Oracles, die einen Stablecoin ohne Bindung (depegged) mit 1 $ bewerteten – DeFi hat all diese Ausfälle schon einmal erlebt. Was der Hack offenbart, ist unangenehm: Die Angriffsfläche moderner Stablecoins hat sich still und heimlich von Solidity auf AWS-Konsolen verlagert, und die Sicherheitsmodelle der Branche haben nicht Schritt gehalten.

Drei Jahre lang wachten amerikanische DeFi-Entwickler jeden Morgen mit der gleichen Frage auf: Bin ich heute ein Broker-Dealer? Seit April 2026 hat die SEC diese Frage faktisch beantwortet — nicht durch eine Regel oder ein Gesetz, sondern durch Reden, Erklärungen von Mitarbeitern und abgeschlossene Untersuchungen. Willkommen im Zeitalter des informellen Safe Harbors, in dem 95 Mrd. USD an TVL in erlaubnisfreien Protokollen unter dem regulatorischen Äquivalent eines Augenzwinkerns operieren.

SEC-Vorsitzender Paul Atkins hat sich klar zum Ziel geäußert. Seine Initiative "Project Crypto", die am 31. Juli 2025 ins Leben gerufen wurde, zielt darauf ab, Amerikas Finanzmärkte On-Chain zu bringen. Seine vorgeschlagene "Innovation Exemption" soll noch in diesem Jahr in Kraft treten. Und seine Abteilung für Handel und Märkte (Division of Trading and Markets) hat Frontend-Entwicklern bereits mitgeteilt, dass sie weiterhin selbstverwaltete Schnittstellen (Self-Custodial Interfaces) erstellen können, ohne sich als Broker-Dealer registrieren zu müssen — zumindest für die nächsten fünf Jahre. Der noch ausstehende CLARITY Act würde all dies gesetzlich verankern, doch mit einer Senatsfrist bis zum 25. April 2026, bevor der Gesetzentwurf bis 2030 auf Eis gelegt zu werden droht, entdeckt die Branche eine unangenehme Wahrheit: Das derzeit mächtigste regulatorische System im Kryptobereich hat keine gesetzliche Kraft hinter sich.