DeFi verlor 600 Mio. $ durch zwei Hacks. Banken beobachten, kaufen nicht.

Fast 600 Millionen Dollar flossen aus zwei Lending-Protokollen ab – Drift Protocol und Kelp DAO – durch Exploits, die nordkoreanischen Akteuren zugeschrieben werden. Das ist die Schlagzeile vom dieswöchigen Proof of Talk Panel in Paris, doch die wirklich alarmierende Zahl ist operationeller Natur: Im April wurden an 27 von 30 Tagen Sicherheitsvorfälle gemeldet. Der CEO von CertiK bezeichnete dies als schlechtesten Monat für DeFi seit vier Jahren – und die Entscheidungsträger, die institutionelle Bilanzen verantworten, haben die Botschaft verstanden.

Die Zahlen

Die 600 Millionen Dollar werden zitiert, aber die Häufigkeitsdaten sind entscheidender. 27 Exploit-Tage von 30 entsprechen einer Vorfallsrate von 90 Prozent auf Kalenderebene. Für einen TradFi-Risikomanager, der bewertet, ob Transaktionsflüsse über Onchain-Plattformen geleitet werden sollen, ist das keine Tail-Risk-Verteilung – das ist die Basisrate. Eine Bank, die an 90 Prozent der Handelstage einen operationellen Sicherheitsvorfall erleben würde, wäre nicht lange eine Bank. Wie CoinDesk vom Pariser Panel berichtete, rahmten Führungskräfte aus Asset Management und Banking dies nicht als vorübergehende Turbulenz ein, sondern als das zentrale Hindernis für die institutionelle Adoption von DeFi.

Maja Vujinovic von OGroup war eindeutig: Kein Wachstum in DeFi außerhalb der bestehenden Degen-Nutzerbasis, bis die Hacks aufhören – und insbesondere bis Bridges repariert sind. Bridges sind seit Jahren die größte Angriffsfläche in DeFi, und die Quelle gibt nicht preis, welcher Anteil der 600 Millionen aus Drift und Kelp DAO Cross-Chain-Komponenten betraf. Das ist relevant, weil sich die Gegenmaßnahmen zwischen Smart-Contract-Fehlern auf Protokollebene und Bridge-Validator-Kompromittierungen grundlegend unterscheiden.

Ben Nadereski, der das Solana-basierte Yield-Protokoll Solstice leitet, lieferte eine Diagnose, die näher an der Engineering-Kultur liegt als an der Kryptographie: Entwickler priorisieren neuen Code gegenüber der unspektakulären Arbeit des Kapitalmanagements. Das ist eine vertraute Kritik für jeden, der beobachtet hat, wie ein Yield-Protokoll ein neues Strategie-Modul schneller ausliefert als ein internes Audit. Der implizite Vergleich ist die Back-Office-Disziplin im TradFi-Bereich, wo das Verhältnis von Codeänderungen zu Abstimmungsarbeit das genaue Gegenteil dessen ist, was die meisten DeFi-Teams praktizieren.

Dem gegenüber steht die Position von Societe Generale Forge. SG-Forge tokenisierte strukturierte Produkte und Green Bonds auf öffentlichen Chains, stellte dann aber fest, dass der Wertpapier-Teil Onchain war, der Cash-Teil jedoch nicht. Die Lösung: die Ausgabe eigener regulierter Stablecoins, EURCV und USDCV. Das ist eine Bank, die selbst die Infrastruktur aufbaut, anstatt sich auf einen nicht-verwahrenden DeFi-Stack zu verlassen. Der Kontrast: 600 Millionen Dollar Verlust aus zwei unregulierten Protokollen gegenüber einem regulierten Emittenten, der für den Cash-Teil auf interne Verwahrung setzt. Für einen institutionellen Allokator ist dieser Vergleich selbsterklärend.

Was wirklich neu ist

Die Hacking-Problematik ist nicht neu. Neu ist die spezifische Einschätzung einer regulierten Bank, dass der langfristige Wert von DeFi in der Transformation des Back-Office liegt – nicht in alternativen Handelsplattformen. Das kehrt den Marketing-Pitch von DeFi-Protokollen seit 2020 um. Die ursprüngliche These lautete: DeFi ersetzt Börsen, Kreditgeber und Market Maker. Die revidierte These von Cabossioras lautet: DeFi verdrahtet Settlement, Verwahrung und Abstimmung unter einem regulierten Rahmen neu – und Banken bleiben der vertrauenswürdige Intermediär.

Das hat Auswirkungen auf das Protokolldesign. Wenn der institutionelle Käufer tokenisierte Wertpapiere plus einen bankausgegebenen Stablecoin für den Cash-Teil möchte, schrumpft der adressierbare Markt für permissionless Lending-Protokolle und AMM-basierte DEXs in Richtung der bestehenden kryptonativen Nutzerbasis. Cabossioras zitierte die institutionelle Präferenz klar: Kunden möchten Sicherheit an einen Dritten delegieren, keine Assets in privaten Wallets halten. Das ist ein Verwahrungsargument – und genau eines, das die Designphilosophie von DeFi aktiv abgelehnt hat.

Der zweite wirklich neue Datenpunkt ist struktureller Natur: Payward, die Muttergesellschaft von Kraken, entwickelt tokenisierten IPO-Zugang im Rahmen des xStocks-Frameworks, mit Anteilen, die eins zu eins durch zugrundeliegende Aktien gedeckt sind, und IPO-Allokationen, die plattformübergreifend aggregiert werden. Das ist ein Tokenisierungsprojekt, das zwischen der TradFi-Primäremission und kryptoeigenen Distributionsschienen liegt. Es hängt von Verwahrung ab (die zugrundeliegenden Aktien müssen irgendwo gehalten werden) und von rechtlichem Rahmenwerk. Es hängt nicht von permissionless Bridges ab. Wenn xStocks funktioniert, bestätigt es die SG-Forge-These: Tokenisierung gewinnt, wo regulierte Verwahrung den Token absichert, und verliert dort, wo Bridges und nicht-verwahrende Protokolle die Abwicklungslast tragen.

Wir wissen nicht, wie hoch der tatsächliche institutionelle Zufluss zu den tokenisierten Produkten von SG-Forge war, und die Quelle gibt keine AUM-Zahlen preis. Die testbare Grenze: Wenn regulierte, bankausgegebene Stablecoins die institutionelle Präferenz sind, sollten EURCV, USDCV und vergleichbare bankausgegebene Stables ihren Umlauf in den nächsten zwölf Monaten schneller steigern als USDT oder USDC. Wenn nicht, bleibt die These Rhetorik.

Was im Krypto- und DeFi-Bereich bereits eingepreist ist

Die Engineering-Community hat das Bridge-Problem eingepreist. Wer seit den Ronin- und Wormhole-Exploits Cross-Chain-Infrastruktur entwickelt hat, behandelt Bridges bereits als schwächstes Glied. Chainlinks CCIP und ähnliche Messaging-Layer existieren genau deshalb, weil die Branche eingestanden hat, dass ad-hoc-Bridge-Validatoren keine bankfähige Infrastruktur sind. Keiner der Führungskräfte auf dem Pariser Panel sagte etwas, das einen erfahrenen Protokoll-Engineer überrascht hätte.

Was nach meiner Einschätzung nicht eingepreist ist, ist die Geschwindigkeit, mit der Banken bereit sind, eigene Stablecoins auszugeben, um die DeFi-Stablecoin-Schicht vollständig zu umgehen. SG-Forge hat das bereits getan. Die CoinDesk-Quelle berichtet, dass Stripe, Visa und Mastercard angeblich eine demnächst startende Stablecoin-Plattform unterstützen. Wenn die Zahlungsnetzwerke eigene Einheiten ausgeben, lautet die Frage für DeFi-Protokolle: Welchen Stablecoin integriert man als Basispaar, wenn regulierte Emittenten institutionellen Nutzern bessere Kontrahentenkonditionen bieten und algorithmische oder schwach besicherte Optionen mit Stigma behaftet sind?

Ebenfalls unterschätzt: die Asymmetrie zwischen Solana-nativen und EVM-nativen Protokollen in der Sicherheitsfrage. Nadereski leitet ein Solana-Yield-Protokoll und nannte die Entwicklerkultur als Grundursache. Solanas Runtime, dokumentiert in den Solana-Docs, hat eine andere Angriffsfläche als EVM-Lending-Märkte, aber das zugrundeliegende Problem der Kapitalmanagement-Disziplin ist chain-agnostisch. Die Quelle schlüsselt die 600 Millionen weder nach Chain noch nach Exploit-Klasse auf – was relevant ist, weil Sanierungsbudgets und Audit-Kapazitäten in verschiedenen Ökosystemen unterschiedlich eingesetzt werden.

Die Gegenmeinung

Die Konsenslesart dieses Panels lautet: DeFi hat ein Sicherheitsproblem, und Banken werden warten. Hier ist das Gegenargument. Banken sind seit ungefähr fünf Jahren dabei, "gleich in DeFi einzusteigen". Das Framing, dass institutionelles Kapital auf der Seitenlinie steht, bis die Hacks aufhören, ist eine permanente Ausrede – denn Hacks werden in keinem Finanzsystem vollständig aufhören. TradFi hat seinen eigenen Sicherheitsvorfalls-Track-Record, seine eigenen Settlement-Fehler, seine eigenen Kontrahentenausfälle. Der Unterschied: Diese Verluste werden durch Versicherungen, Regulatoren und Zentralbank-Backstops aufgefangen – all das existiert in DeFi per Design nicht.

Akzeptiert man dieses Framing, ist der SG-Forge-Ansatz (regulierter Stablecoin plus tokenisierte Wertpapiere auf öffentlichen Chains) keine Brücke zur DeFi-Adoption, sondern ein Konkurrenzprodukt, das die Teile von DeFi absorbiert, die Banken nützlich finden (programmierbares Settlement, 24/7-Märkte, Composability), während die Teile erhalten bleiben, an denen Banken verdienen (Verwahrung, KYC, regulatorischer Burggraben). In dieser Lesart werden DeFi-Protokolle nicht von Banken adoptiert. Sie werden von Banken verdrängt, die dieselben zugrundeliegenden Chains nutzen.

Der Bull-Case für permissionless DeFi verengt sich dann auf das, was Banken rechtlich oder operationell nicht anbieten können: anonyme Kreditvergabe, jurisdiktionale Arbitrage, Nutzung oberhalb regulatorischer Caps und Zugang für Nutzer, die Banken nicht bedienen. Das ist ein realer Markt – aber kein Markt, der "große Banken gewinnt".

Wichtige Erkenntnisse

• Die Häufigkeit, nicht der Dollarbetrag, ist das Problem. 27 Vorfallstage von 30 im April ist die Zahl, die institutionelle Risikomanager abschreckt – unabhängig vom Schlagzeilenverlust von 600 Millionen Dollar aus Drift und Kelp DAO.
• Bridges bleiben das zentrale Hindernis. Bis Cross-Chain-Infrastruktur bankfähige Zuverlässigkeit erreicht, bleibt das DeFi-Wachstum laut Führungskräfte-Konsens auf die bestehende Nutzerbasis beschränkt.
• Banken bauen, sie warten nicht. SG-Forges Ausgabe von EURCV und USDCV zur Lösung des Cash-Leg-Problems ist das Muster. Es sind mehr regulierte Bank-Stablecoins zu erwarten, die mit bestehenden DeFi-Stablecoin-Emittenten konkurrieren, anstatt sie zu ergänzen.
• Tokenisierung entwickelt sich ohne DeFi. Paywards xStocks-Framework für tokenisierten IPO-Zugang nutzt Eins-zu-Eins-Deckung und aggregierte Allokationen und umgeht den permissionless Protokoll-Stack vollständig.
• Die testbare Prognose: Wenn die These der "institutionellen Präferenz für regulierte Verwahrung" zutrifft, sollte der Umlauf bankausgegebener Stablecoins in den nächsten zwölf Monaten schneller wachsen als USDT und USDC. Wenn nicht, hat das Pariser Panel nur die eigene Position verteidigt.

Die unbeantwortete Frage, zu der ich immer wieder zurückkomme: Welches tatsächliche Sicherheitsniveau muss DeFi erreichen, bevor institutioneller Kapitalfluss einsetzt? Niemand auf dem Panel hat es quantifiziert. Ist es ein Vorfall pro Monat, einer pro Quartal, null Bridge-Exploits pro Jahr? Ohne diese Zahl ist "die Hacks beheben" ein sich ständig verschiebender Zielpfosten, und Protokoll-Teams haben kein Engineering-Ziel, gegen das sie liefern können. Die Grenze liegt irgendwo zwischen dem aktuellen Zustand (de facto tägliche Vorfälle) und dem TradFi-Zustand (selten, versichert, absorbiert). Bis jemand den Schwellenwert benennt, wiederholt sich dieses Gespräch auf jeder Konferenz.