JPMorgan veröffentlichte einen Bericht, der dem DeFi-Sektor ein ernüchterndes Zeugnis ausstellt. Das Researchteam unter Managing Director Nikolaos Panigirtzoglou argumentiert, dass häufige Sicherheitsvorfälle und ein stagnierendes Total Value Locked (TVL) in das institutionelle Interesse weiterhin einschränken.
Die Analyse der Grossbank, die rund 4.8 Bio. USD an Assets under Management verwaltet, fällt in eine Phase erhöhter Nervosität im On-Chain-Kreditmarkt. JPMorgan beziffert die Gesamtverluste aus DeFi-Exploits im April 2026 auf über 600 Mio. USD innerhalb von drei Wochen. Das DeFi-TVL gemessen in Ether (ETH) bleibt weitgehend flach, obwohl sich die Dollar-Werte mit dem breiteren Krypto-Preisen teilweise erholt haben. Die Bank wertet diesen Befund als Hinweis darauf, dass die zugrundeliegende Aktivität selbst bei steigenden Token-Preisen nicht wächst.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
KelpDAO-Exploit als zentrales Fallbeispiel
Am 19. April 2026 nutzte ein Angreifer eine Cross-Chain-Bridge bei KelpDAO aus und prägte ungedeckte rsETH-Token im Gegenwert von rund 292 Mio. USD. Anschliessend hinterlegte er diese Token als Sicherheit auf Aave, um echten ETH zu leihen. Zurück blieben rund 230 Mio. USD Bad Debt auf dem grössten DeFi-Kreditprotokoll. Innerhalb weniger Tage führte der Vorfall zu Abzügen von 15 Mrd. USD an DeFi-TVL.
Die Kettenreaktion verdeutlicht die Fragilität der Infrastruktur. In den 24 Stunden nach dem Hack zogen Grossinvestoren über 6 Mrd. USD von Aave ab. Der Aave-V3-USDC-Pool lief tagelang bei 99.87 Prozent Auslastung, wobei weniger als 3 Mio. USD an freier Liquidität verfügbar blieben. Nutzer liehen sich rund 300 Mio. USD gegen eigene gesperrte Stablecoin-Einlagen zu deutlich erhöhten Kosten. Das Muster entspricht einem klassischen Bank Run, nur in beschleunigter On-Chain-Form.
LayerZero sowie externe Sicherheitsforscher identifizierten die nordkoreanische Lazarus Group als mutmasslichen Angreifer. Ein Teil der gestohlenen Mittel gilt als eingefroren, der Rest bewegt sich durch Wallets und Privacy-Protokolle. JPMorgan nennt Cross-Chain-Bridges im Report ausdrücklich als das Segment mit der höchsten Konzentration ungelöster Risiken. Fortschritte beim Smart-Contract-Auditing haben Bridge-Angriffe bislang nicht eindämmen können. Restaking-Protokolle wie KelpDAO verschärfen das Problem, weil sie mehrere Token-Derivate übereinanderschichten und jede Ebene eine neue Angriffsfläche schafft.
Liquiditätsengpass und Zinssprung auf Aave
Die Folgen des Exploits zeigten sich unmittelbar in den Zinsen. Die USDT- und USDC-Borrowing-Raten auf Aave V3 sprangen von rund 3.4 Prozent auf etwa 14 Prozent. Damit erwies sich das Leihen von Stablecoins für abgesicherte On-Chain-Strategien kurzzeitig als unrentabel. Circles Chief Economist Gordon Liao bezeichnete den Markt nach dem Vorfall als "broken", da das bestehende Zinsmodell auf Aave keine neuen Supplier anzog. Der Zinssprung wirkte als direkter Margendruck auf Basis-Trades und Delta-neutrale Stablecoin-Strategien, die im institutionellen Umfeld am stärksten nachgefragt werden.
JPMorgan beobachtet parallel eine Kapitalrotation in Stablecoins als Fluchtbewegung. Nach dem Exploit floss Kapital verstärkt in USDT, bevorzugt wegen besserer Liquidität und schnellerer Off-Ramps auf zentralisierten Börsen. Allerdings schlug sich dieser Anstieg bislang nicht in einem messbaren Wachstum der USDT-Marktkapitalisierung nieder. Ob es sich um eine reine Umschichtung bestehender Positionen handelt, bleibt offen.
"Ebenso wie traditionelle Anleger in unsicheren Zeiten in Cash rotieren, suchen Krypto-Teilnehmer nach jüngsten Exploits Zuflucht in Stablecoins. USDT scheint das bevorzugte Flucht-in-Sicherheit-Vehikel für schnelle Ausstiege aus On-Chain-Positionen zu sein." - Nikolaos Panigirtzoglou, JPMorgan-Report
Auffällig ist die Dynamik auf Aave selbst. Das Protokoll verzeichnete einen TVL-Rückgang um 8.45 Mrd. USD auf 18 Mrd. USD im Zuge des Exploits. Gleichzeitig fiel das gesamte DeFi-TVL von 100 Mrd. USD auf 86 Mrd. USD. Ende April 2026 liegt der Wert bei rund 82.4 Mrd. USD - der tiefste Stand seit einem Jahr. Verglichen mit Anfang 2026 entspricht das einem Rückgang um rund 25 Prozent. Gemessen am Peak von 171.9 Mrd. USD im Oktober 2025 hat der Sektor mehr als die Hälfte seiner gebundenen Werte verloren.
Serie von Exploits belastet das Vertrauen
Der KelpDAO-Vorfall ist kein Einzelfall. Bereits Anfang April 2026 verlor das Drift Protocol rund 285 Mio. USD durch einen Exploit, der primär das Derivate-Segment auf Solana betraf. Weitere kleinere Vorfälle bei Resolv Labs, Hyperbridge und Rhea Finance trieben die Gesamtverluste in drei Wochen auf über 600 Mio. USD. JPMorgan stellt fest, dass sich die Hack-Verluste im Jahr 2026 auf einem ähnlichen Niveau wie 2025 entwickeln. Eine strukturelle Verbesserung zeichnet sich bislang nicht ab, obwohl die Branche seit Jahren in Audits, Bug-Bounties und formale Verifikation investiert.
Die historische Dimension untermauert die Einschätzung der Grossbank. DefiLlama zählte 2025 rund 6 Mrd. USD an rug-bezogenen TVL-Verlusten im gesamten DeFi-Ökosystem. Im Februar 2026 kollabierte ZeroLend nach einer Depegging-Kaskade um 98 Prozent. Ethereum dominiert weiterhin mit rund 68 Prozent des gesamten DeFi-TVL die Infrastruktur, während Solana mit rund 9.2 Mrd. USD TVL zum zweitgrössten DeFi-Hub aufgestiegen ist. Die Konzentration auf wenige grosse Protokolle wie Aave, Lido und EigenLayer verstärkt die Ansteckungsgefahr zusätzlich.
2025 erreichten einzelne DeFi-Segmente durchaus bemerkenswerte Zahlen. Das Volumen der Perpetual DEX stieg um 346 Prozent auf ein Allzeithoch von 6.7 Bio. USD. Real World Assets und Prediction Markets wuchsen um 139 beziehungsweise 233 Prozent. Gleichzeitig schrumpften klassische DEX-, Derivate- und Farm-Segmente, und die meisten Large-Cap-L1-Token schlossen das Jahr mit flacher oder negativer Performance ab. Das erklärt, warum der Dollar-TVL zwar Wachstum suggeriert, das ETH-denominierte TVL aber stagniert.
Warum ETH-denominiertes TVL für Institutionelle zählt
Das ETH-denominierte TVL ist für JPMorgan kein technisches Detail, sondern der aussagekräftigste Aktivitätsindikator. Steigt das Dollar-TVL nur, weil der ETH-Preis zulegt, bleibt die reale Nutzung der Protokolle unverändert. Flaches TVL in ETH-Termen bedeutet: keine neuen Nutzer und keine zusätzlich gesperrten Assets. Für institutionelle Allokatoren ist genau das der Massstab, weil er die organische Nachfrage nach DeFi-Dienstleistungen von reinen Bewertungseffekten trennt.
Parallel fehlen dem Sektor die Sicherheitsmechanismen, die klassische Finanzmärkte voraussetzen. Es gibt keine Einlagensicherung, keine verbindlichen Stress-Tests und nur einen fragmentierten Versicherungsmarkt. Anbieter wie Nexus Mutual decken typischerweise weniger als 1 Prozent des gesamten DeFi-TVL ab. Ein Treasurer einer Grossbank oder ein Pensionsfonds kann unter diesen Bedingungen kein nennenswertes Kapital einsetzen, selbst wenn die Renditen attraktiv wären.
JPMorgan zieht daraus eine klare Schlussfolgerung: Grossinstitutionen werden vorsichtig bleiben, bis DeFi anhaltende Verbesserungen in Sicherheit, Risikomanagement und Versicherungsmechanismen nachweisen kann. Ohne institutionelle Zuflüsse fehlt dem Sektor die Kapitalbasis, die klassische Finanzinstitute für Market Making, Kreditvergabe und strukturierte Produkte mitbringen würden. Die Kombination aus wiederkehrenden Bridge-Exploits, stagnierender Aktivität in ETH-Termen und fragilem Liquiditätsmanagement auf den grössten Kreditprotokollen spricht gegen eine baldige Trendwende.
