DeFi neu bewertet: 48 Stunden, die die 2,32%-Lüge beendeten

Stellen Sie sich eine Kleinstadt-Bank vor, die noch nie ausgeraubt wurde und Tresorversicherungen zum halben Preis der Konkurrenz anbietet. Jahrelang zucken die Kunden mit den Schultern und nehmen an, die günstige Bank wisse etwas, das die anderen nicht wissen. Dann geht an einem Samstagmorgen jemand mit einem Geldsack durch die Vordertür, und jeder Einleger erinnert sich daran, dass „bisher keine Vorfälle" niemals dasselbe war wie „kein Risiko". So eine Bank betrieb DeFi bis zum 17. April. Bis zum 19. April hatte die Schlange vor der Tür die gesamte Branche neu bewertet.

Bis zu jenem Freitag zahlte das Verleihen von Stablecoins über Aave 2,32% APY, während der Overnight-Satz der Federal Reserve bei 3,64% lag. Das bitte zweimal lesen. Der Markt verlangte weniger dafür, Dollar an einen unregulierten Smart Contract zu verleihen als an das US-Finanzministerium. Irgendetwas musste dieses Patt brechen – und es tat es.

Die Zahlen

Stellt man die Dollar-Renditen vor dem Wochenende nebeneinander, ist die Rangfolge beinahe komisch. Treasury Overnight: 3,64%. Ledns BBB- bewertete Bitcoin-besicherte ABS Senior Tranche, im Februar bepreist: 6,84%. Strategys STRC Perpetual Preferred: 11,50%. US-Kreditkarten bei einer Ausfallrate von 4%: rund 21%. Und Aave, angeblicher Goldstandard für Onchain-Kredit, liegt mit 2,32% unter all dem.

Die Banktresor-Analogie hält, denn die Grundlage für diese niedrige Zahl war nicht bloßes Bauchgefühl. Wie CoinDesk anmerkte, veröffentlichte die Bank of Canada am 2. April einen Bericht, der Aaves 0,00%-Quote notleidender Kredite als Beleg dafür anführte, dass preisbasierte Liquidation und Übersicherung Ausfälle strukturell ausgeschlossen hatten. Luca Prosperi hatte das Gegenteil argumentiert: DeFi-Stablecoin-Zinsen sollten eine Prämie von 250 bis 400 Basispunkten über dem risikofreien Zinssatz tragen, was einem Bereich von 6,15% bis 7,76% entspräche. Eine dieser Ansichten musste falsch sein.

Am 18. April nutzte ein Angreifer die LayerZero-gestützte Cross-Chain-Bridge von Kelp DAO aus und mintete rund 116.500 ungedeckte rsETH – etwa 18% des umlaufenden Angebots, im Wert von ungefähr 292 Millionen Dollar. Die gefälschten Token wurden direkt als Sicherheit in Aave eingestellt, und der Angreifer verließ das Protokoll mit geschätzten 190 bis 230 Millionen Dollar an echten Vermögenswerten, die gegen nicht existierende Sicherheiten geliehen worden waren. Aaves Vorfallsbericht tat das Richtige und räumte ein, dass das Protokoll wie vorgesehen funktioniert hatte. Das Defizit war struktureller, nicht technischer Natur. Kelp und LayerZero beschuldigten sich anschließend öffentlich gegenseitig für die 1/1-Validator-Konfiguration, die das Ganze trivial gemacht hatte.

Dann kam der Bank-Run. In 48 Stunden verließen 6 bis 10 Milliarden Dollar netto Aave. WETH-, USDT- und USDC-Pools erreichten alle 100% Auslastung. Einleger konnten nicht abheben, Kreditnehmer kamen nicht an Stablecoins, und feststeckende Nutzer liehen sich weitere 300 Millionen Dollar gegen ihre eigenen gesperrten Stablecoin-Einlagen zu 75% LTV, nur um auf dem Umweg Bargeld zu erhalten. Die Aave-Stablecoin-Einlagenzinsen stiegen von 3 bis 6% vor dem Exploit auf 13,4% innerhalb von zwei Tagen. Morphos USDC-Vault, der Coinbases Konsumentenkreditprodukt antreibt, sprang von 4,4% APR am 18. April auf 10,81% am nächsten Tag. Der gesamte DeFi-TVL über die Top-20-Chains fiel um mehr als 13 Milliarden Dollar.

Was wirklich neu ist

Der Exploit selbst ist nicht neu. Cross-Chain-Bridges sind seit 2021 die Schwachstelle von Krypto, und jeder, der einen Multichain-Vertrag entwickelt hat, weiß, dass die Sicherheit des gesamten Stacks auf die schwächste Validator-Gruppe in der Vertrauenskette zusammenbricht. Eine 1/1-Konfiguration auf einer Cross-Chain-Messaging-Schicht ist, offen gesagt, die Art von Konfiguration, die nicht mit 292 Millionen Dollar mintbarem Angebot im Hintergrund in der Produktion hätte laufen sollen. Das ist ein Governance-Versagen, verkleidet als Bridge-Architektur.

Was tatsächlich neu ist: Der Ansteckungsmechanismus wird erstmals in diesem Ausmaß öffentlich einem Stresstest unterzogen. DeFi-Protokolle sind by Design interoperabel. „Looping" – Kreditaufnahme auf einer Plattform und Wiedereinzahlung auf einer anderen – ist ein Feature, kein exotischer Sonderfall. Rund 20% von Aaves historischem Kreditvolumen stammten aus rekursiver Nutzung. Als also gefälschte Sicherheiten in Aave eingebracht wurden, war der Schadensradius nicht allein Aave. Es war jedes Protokoll, das Aave als risikofreie Basisinfrastruktur behandelt. Morphos Sprung von 4,4% auf 10,81% an einem einzigen Tag ist die Ausbreitungskurve – in Echtzeit sichtbar.

Die andere wirklich neue Sache: Ein bedeutender Regulator (die Bank of Canada) hatte das 0,00%-NPL-Framing faktisch wenige Wochen zuvor bestätigt. Diese Einschätzung hat sich etwa so gut gehalten wie ein Fisch im Kofferraum. Jeder, der nachts um 3 Uhr ein Kreditmodell geprüft hat, kennt den Unterschied zwischen „wir haben noch nie einen Ausfall beobachtet" und „wir können keinen Ausfall haben." DeFi hat so getan, als wären das gleichbedeutende Aussagen, und viele Allocators haben es geglaubt, weil die Onchain-Zahlen sauber waren. Saubere Daten sind nicht dasselbe wie ein vollständiges Modell.

Was für Krypto und DeFi bereits eingepreist ist

Einiges davon war bereits bekannt. Ingenieure, die auf Aave und Morpho aufbauen, wissen seit Jahren, dass Bridge-Risiko das heikle Thema ist, das niemand versichern möchte. Die von Prosperi genannte Prämie von 250 bis 400 Basispunkten entspricht in etwa dem, was ein Kreditteam bei jedem regulierten Kreditgeber verlangt hätte, wenn man ihm das gleiche Risikoprofil vorgelegt hätte. Die Neubewertung ist also kein Schock für jeden, der den Stack wirklich modelliert. Es ist ein Schock für die Leute, die die 0,00%-NPL-Kennzahl in Risikoausschüssen zitiert haben.

Was meiner Einschätzung nach noch nicht eingepreist ist: die rechtliche Asymmetrie. Innerhalb eines Smart Contracts gibt es kein Insolvenzrecht. Wer zuerst abhebt, behält alles. Wer zuletzt kommt, trägt einen überproportionalen Anteil des Verlusts. Celsius, BlockFi und FTX waren düster, aber Gläubiger bekamen etwas zurück, und jemand sah einen Gerichtssaal. In DeFi gibt es kein Gericht, keine Rückforderung, keinen Insolvenzverwalter. Allocators, die ihr Exposure für das nächste Jahr dimensionieren, müssen verinnerlichen, dass die Verlustverteilung ein Münzwurf basierend auf Latenz ist, nicht auf Rangfolge. Das ist keine Risikoprämie, die sich mit einem höheren APR lösen lässt. Es ist ein strukturelles Merkmal, und das Langweilige daran ist: Die meisten institutionellen Risikomodelle haben dafür keine Spalte.

Ebenfalls nicht eingepreist: wie schnell Coinbase-nahe Retail-Produkte die Ansteckung übernahmen. Der Verdopplungssprung von Morphos USDC-Vault innerhalb von 24 Stunden war kein isoliertes DeFi-Ereignis. Es war ein Preissignal, das in ein verbraucherorientiertes Kreditbuch einfließt. Die Infrastruktur zählt jetzt in einer Weise, die sie nicht tat, als DeFi ein geschlossener Kreislauf von Degens war, die gegen andere Degens liehen.

Gegensätzliche Sichtweise

Die einfache Schlussfolgerung ist, dass dies beweist, dass DeFi-Kredit kaputt ist. Ich widerspreche. Die Architektur hat getan, was sie sollte. Aaves Vorfallsbericht ist korrekt: Das Protokoll funktionierte wie vorgesehen, das Defizit lag weiter oben in der Kette. Die Ansteckung war in Echtzeit sichtbar, die Zinsen bewegten sich innerhalb von 48 Stunden, um den Markt zu räumen, und es gab keine monatelangen Insolvenzverfahren, die entschieden, wer zehn Cent auf den Dollar bekommt. Das ist tatsächlich ein Feature, kein Versagen – wenn man akzeptiert, dass der Preis der Schnelligkeit das Fehlen von Rechtsbehelfen ist.

Die gegensätzliche Lesart: Dieses Wochenende war DeFis erstes richtiges Kreditereignis mit einem funktionierenden Preisfindungsmechanismus. Die Fehlbewertung bestand, weil der Markt nie gezwungen war, sich mit Tail-Risiken auseinanderzusetzen. Jetzt ist er es. Die Zinsen haben sich höher eingependelt, weil sie von Anfang an höher hätten sein sollen. Von nun an können Allocators zu ehrlichen Renditen zeichnen, Entwickler haben einen starken Anreiz, Bridge-Konfigurationen zu beheben, und der gesamte Stack ist gesünder als bei 2,32%. Die Kleinstadt-Bank ist nicht abgebrannt. Sie hat nur aufgehört, Tresorversicherungen zu bewerben, die sie nicht wirklich abdecken konnte.

Die wichtigsten Erkenntnisse

• Der 2,32% Aave APR unterhalb des 3,64% Fed Overnight-Satzes war eine Fehlbewertung, die der Markt nicht aufrechterhalten konnte, sobald sie getestet wurde.
• Eine 1/1-Validator-Konfiguration auf Kelps LayerZero-Bridge ermöglichte es einem Angreifer, 18% des rsETH-Angebots – rund 292 Millionen Dollar – zu minten und als Sicherheit in Aave einzubringen.
• Rekursive Nutzung (rund 20% von Aaves historischem Kreditvolumen) verwandelte einen einzelnen Bridge-Exploit in 6 bis 10 Milliarden Dollar Abflüsse und 100% Pool-Auslastung bei Stablecoins.
• Morphos USDC-Vault stieg über Nacht von 4,4% auf 10,81% APR – das zeigt, dass sich DeFi-Kreditrisiken nun direkt in Coinbase-nahe Retail-Kreditprodukte fortpflanzen.
• Die rechtliche Asymmetrie (keine Insolvenz, keine Rückforderung, wer zuerst raus ist gewinnt) ist der Aspekt, den institutionelle Risikomodelle noch immer nicht korrekt einpreisen – und den kein APR allein kompensiert.

Zurück zur Kleinstadt-Bank: Die Schlange hat sich aufgelöst, die Türen sind noch offen, und das Schild im Fenster zeigt nun einen Preis, der der Tatsache Rechnung trägt, dass Tresore gelegentlich ausgeraubt werden. Das ist nicht das Ende des Bankwesens. Das ist der Beginn von Bankwesen, das sich wie Bankwesen verhält.