⚡ Quick Takes
- April 2026 ist laut DefiLlama der Hack-reichste Monat der Krypto-Geschichte.
- Insgesamt wurden im April rund 629 Millionen US-Dollar gestohlen, verteilt auf 28 bis 30 Vorfälle.
- Beide Hauptangriffe werden der nordkoreanischen Lazarus Group zugeschrieben — sie verantwortet damit 76 Prozent aller Krypto-Hack-Verluste 2026.
Die Bilanz der Krypto-Hacks April 2026 ist eindeutig: Bei rund 30 Vorfällen wurden 629 Millionen US-Dollar aus Krypto-Protokollen entwendet. Damit ist der Monat nach Daten von DefiLlama der hack-reichste in der Geschichte der Branche. Der entscheidende Punkt steckt aber nicht in der Gesamtsumme — sondern darin, wie sich der Schaden verteilt.
Was DefiLlama für April registriert hat
DefiLlama zählt für die Krypto-Hacks April 2026 zwischen 28 und 30 separate Vorfälle und einen Gesamtschaden von rund 629 Millionen US-Dollar. Die Sicherheitsfirma CertiK kommt auf eine etwas höhere Zahl von rund 650 Millionen, die Differenz erklärt sich durch unterschiedliche Definitions-Grenzen — DefiLlama zählt nur Protokoll-Hacks, CertiK auch Phishing-Verluste und Scams.
In jedem Fall ist es der schwerste Schaden seit dem Bybit-Hack im Februar 2025, bei dem rund 1,4 Milliarden Dollar entwendet wurden.
Bemerkenswert ist die Verteilung über das Jahr: Der April allein übertrifft den kombinierten Schaden des ersten Quartals 2026 um das 3,7-Fache. Das gesamte Jahr steht damit nach vier Monaten bei rund 770 Millionen Dollar Verlust durch Hacks — fast vollständig konzentriert auf einen einzigen Monat.
Die kleineren Vorfälle des April — Rhea Finance mit 18 Millionen, Grinex mit 15 Millionen, Wasabi Protocol mit 5 Millionen, Volo Vault, Sweat Foundation und Hyperbridge mit jeweils einstelligen Millionenbeträgen — gehen in der Gesamtbilanz fast unter.
Zwei Hacks, 93 Prozent — eine einzige Hackergruppe
Wer die Verteilung des April-Schadens genauer ansieht, stößt auf ein extremes Muster. Zwei einzelne Angriffe machen zusammen rund 93 Prozent aller April-Verluste aus.
Der erste war der Drift-Protocol-Hack am 1. April. Die Angreifer übernahmen ein Admin-Konto mit weitreichenden Rechten und nutzten eine technische Besonderheit von Solana, um sich dauerhaften Zugriff auf die Auszahlungen zu verschaffen. Die eigentliche Plünderung dauerte rund zwölf Minuten. Davor lag eine monatelange Vorbereitung. Die Hacker hatten sich gezielt an Personen herangearbeitet, die wichtige Transaktionen freigeben dürfen — und sich so deren Zugangsdaten verschafft. Schaden: 285 Millionen Dollar.
Der zweite war der KelpDAO-Hack am 18. April. Die Angreifer griffen eine Brücke zwischen zwei Blockchains an — also den Übergang, über den Token von einem Netzwerk in ein anderes transferiert werden. Sie manipulierten die Sicherheitslogik dieser Brücke, schöpften eine große Menge rsETH-Token ab und nutzten diese anschließend bei der Kreditplattform Aave als Sicherheit, um sich weitere Mittel zu leihen. Schaden: 293 Millionen Dollar.
Beide Vorfälle werden der nordkoreanischen Lazarus Group zugeschrieben. Damit ist eine einzige staatlich gestützte Hackergruppe für rund 76 Prozent aller Krypto-Hack-Verluste des Jahres 2026 verantwortlich — durch genau zwei Operationen.
Der Effekt geht über die direkten Schäden hinaus. Carrot Finance, ein DeFi-Protokoll, das die Infrastruktur von Drift nutzte, um für seine Nutzer Renditen zu erwirtschaften, verlor binnen eines Monats 93 Prozent seines hinterlegten Kapitals — von 28 Millionen auf knapp zwei Millionen Dollar. Inzwischen hat Carrot die Schließung angekündigt. Solche Folge-Schäden tauchen in den offiziellen Hack-Statistiken nicht auf.
Mein Blick darauf
Was ich aus den Krypto-Hacks April 2026 mitnehme, ist nicht die Rekordzahl an sich. Was auffällt, ist die Konzentration: 93 Prozent eines Rekord-Monats hängen an zwei Vorfällen — und beide gehen mit hoher Wahrscheinlichkeit auf dieselbe Hackergruppe zurück.
Das ändert die Lesart. Wenn ein einzelner staatlich gestützter Akteur den Großteil des Schadens verursacht, ist das in erster Linie kein Software-Problem. Beide Angriffe scheiterten nicht an einer Lücke im Code, sondern an organisatorischen Schwachstellen: Bei Drift wurden Personen mit weitreichenden Rechten gezielt manipuliert. Bei KelpDAO war die Brücke zwischen den Blockchains zu schwach abgesichert. Solche Probleme lassen sich durch Sicherheits-Prozesse mildern — nicht mit einem schnellen Patch.
Was Anleger praktisch davon haben: Vor jeder Einzahlung in ein DeFi-Protokoll lohnen sich drei einfache Fragen. Wer hat das Protokoll zuletzt geprüft? Etablierte Sicherheitsfirmen wie Trail of Bits, OpenZeppelin oder Certora sind ein Mindeststandard — fehlt ein aktueller Audit, ist das ein Warnsignal. Wie viele Personen müssen großen Auszahlungen zustimmen? Wenige Berechtigte sind ein Risiko, das die April-Hacks gerade vorgeführt haben. Und nutzt das Protokoll eine Brücke zu anderen Blockchains? Brücken sind in DeFi die meistangegriffene Komponente überhaupt. Diese drei Fragen verhindern keinen Hack. Sie sortieren aber die Protokolle vor, bei denen einer wahrscheinlicher ist.
