JPMorgan legt pijnlijk DeFi-probleem bloot: hacks houden instellingen op afstand

JPMorgan legt met een ongemakkelijke conclusie de vinger op een zere plek van DeFi. Volgens de bank blijft de sector institutioneel moeilijk verkoopbaar door terugkerende exploits en vlakke groei in ETH-genomineerde total value locked, een maatstaf die prijsschommelingen grotendeels wegfiltert. Daarmee schuift het probleem weg van regelgeving of reputatie alleen, naar iets fundamentelers: systeemrisico.

Wat op vrijdag 18 april 2026 rond rsETH en KelpDAO gebeurde, laat precies zien waarom dat zo gevoelig ligt. In Aave’s eigen incident report staat dat via een 1-of-1 DVN-configuratie 116.500 rsETH werd vrijgegeven zonder bijbehorende burn. Van dat bedrag werd 89.567 rsETH als onderpand op Aave gestort, waartegen in totaal 82.650 WETH en 821 wstETH werd geleend.

Aave benadrukte daarbij dat zijn eigen smart contracts niet waren gecompromitteerd. Toch moest het protocol vrijwel direct alle rsETH- en wrsETH-markten bevriezen en later ook WETH op meerdere deployments blokkeren om verdere stress te beperken. Dat is precies de laag waar instellingen op afhaken: een extern incident kan via bruggen, onderpand en composability alsnog overslaan naar protocollen die zelf technisch gewoon zijn blijven draaien.

De omvang van dat besmettingsrisico was niet theoretisch. In dezelfde Aave-analyse varieert het potentiële bad-debt-scenario van ongeveer 123,7 miljoen dollar bij brede socialisatie van verliezen tot circa 230,1 miljoen dollar als de schade vooral op L2-rsETH terechtkomt. Dat zijn geen einduitkomsten, maar scenario’s. Juist dat is het punt: de uiteindelijke schade hing op dat moment nog af van externe beslissingen over verliesverdeling, recovery en redemption-mechanieken.

Daardoor wordt JPMorgans waarschuwing sterker dan de gebruikelijke kop over een grootbank die “bearish” zou zijn op DeFi. Volgens samenvattingen van de notitie ziet de bank niet alleen terugkerende hacks als rem, maar ook het uitblijven van overtuigende organische groei in ETH-termen. Tijdens stressmomenten lijkt kapitaal bovendien richting eenvoudiger en defensiever gebruik van crypto te schuiven, onder meer naar USDT.

De implicatie daarvan is ongemakkelijk voor de sector. Het probleem is niet alleen dat er af en toe iets wordt gehackt. Het probleem is dat één zwakke schakel buiten de eigen perimeter genoeg kan zijn om elders freezes, governance-ingrepen en mogelijke verliezen te veroorzaken. Voor particuliere DeFi-gebruikers hoort dat risico vaak bij het speelveld. Voor institutionele risicomanagers is het veel moeilijker te verdedigen.

Daarmee verschuift ook de echte institutionele vraag. Niet óf groot kapitaal iets met blockchain wil, maar welk type on-chain infrastructuur het bereid is te vertrouwen. Zolang open DeFi in crisismomenten nog zo zichtbaar afhankelijk blijft van noodmaatregelen en schadeverdeling achteraf, blijft het lastig om die laag als kerninfrastructuur te verkopen. Dat is de pijnlijkste les uit JPMorgans analyse — en de markt heeft die de afgelopen week zelf nog eens bevestigd.