DeFi-Vaults 2026: Yearn, Beefy, Convex und Pendle im risikoadjustierten Renditevergleich
Table of Contents
Schwierigkeitsgrad: Fortgeschritten | Geschätzte Lesezeit: 18 Minuten | Zuletzt aktualisiert: 9. Mai 2026
Affiliate-Hinweis: ChainGain erhält möglicherweise eine Provision, wenn Sie sich über unsere Links anmelden. Dies beeinträchtigt nicht unsere redaktionelle Unabhängigkeit – wir bewerten Plattformen unabhängig vom Partnerstatus nach denselben risikobasierten Kriterien.
Vault-Marketingseiten zeigen 50 % APY in fetter Schrift und Audit-Berichte im 6-Punkt-Footer. Bis die meisten Privatanleger diese Diskrepanz bemerken, hat ihre Position die Differenz oft schon bezahlt – mal durch Impermanent Loss, mal durch einen Vyper-Compiler-Bug, den niemand hat kommen sehen. Die vier größten Vault-Aggregatoren im Jahr 2026 – Yearn, Beefy, Convex und Pendle – verwalten zusammen über 2,6 Milliarden US-Dollar an Nutzereinlagen, doch ihre Risikoprofile sind nicht austauschbar, und die veröffentlichten APY-Zahlen sind ohne explizite Risikoanpassung nicht vergleichbar.
Dieser Leitfaden tut, was die meisten „Best DeFi Vaults 2026″-Listen sich weigern zu tun: Er rechnet beworbene Renditen anhand der Audit-Qualität, der historischen Exploit-Häufigkeit und des Kaskadenrisikos der zugrunde liegenden Protokolle herunter. Wir vergleichen die Audit-Firmen-Abdeckung über alle vier Plattformen hinweg, gehen jeden dokumentierten Exploit seit 2021 mit verifizierten Dollarbeträgen durch und schließen mit einem risikoadjustierten APY-Arbeitsblatt für vier Vaults ab, das Sie auf jeden neuen Vault anwenden können, bevor Sie einzahlen.
Die Darstellung ist durchgehend ehrlich statt werblich. Wir nennen konkrete Audit-Firmen, verknüpfen historische Exploits mit bestimmten Vyper-Versionen und konkret kompromittierten Pools und erfinden keine Bewertungszahlen. Wo eine öffentliche Quelle einen Verlustbetrag nicht bestätigen konnte (insbesondere beim Pendle-PT/YT-Mint-Vorfall vom September 2024), sagen wir das ausdrücklich, statt zu raten.
Was sind DeFi-Vaults? (Und warum sie das manuelle Yield Farming abgelöst haben)
Ein DeFi-Vault ist ein Smart Contract, der Nutzereinlagen entgegennimmt und im Auftrag des Einlegers eine vordefinierte Renditestrategie ausführt – Borrowing, Lending, Liquiditätsbereitstellung, Reward-Token-Harvesting und Auto-Compounding der Erträge zurück in die Position. Im Gegenzug gibt der Contract einen Vault-Token aus (in modernen Implementierungen einen ERC-4626-konformen Share-Token), der den anteiligen Anspruch des Einlegers auf die zugrunde liegenden Vermögenswerte plus aufgelaufene Rendite repräsentiert.
Diese Kategorie existiert, weil manuelles Yield Farming operativ teuer ist: Ein Einleger, der eine Curve-LP-plus-CRV-Staking-plus-CVX-Locking-Position optimiert, zahlt fünf bis sieben gas-intensive Transaktionen pro Harvest-Zyklus, und bei kleinen Positionen übersteigen die Gas-Kosten oft die Rendite. Vault-Aggregatoren sozialisieren diese Kosten über tausende Einleger hinweg, führen den Harvest-Zyklus einmal auf Contract-Ebene aus und verteilen die Erträge proportional zum Anteilsbesitz.
Das Smart-Contract-als-Portfoliomanager-Modell
Yearn hat das Modell 2020 mit den V1-Vaults eingeführt. Die Architektur hat sich seitdem in drei dominante Muster aufgesplittert: klassische Aggregatoren (Yearn V3, Beefy), die fest codierte Strategien fahren; Curator-basierte Vaults (Morpho, neuere Yearn-V3-Deployments), bei denen benannte Risikomanager wie Steakhouse Financial oder Gauntlet Kapital über zugelassene Märkte allokieren; und Yield-Tokenisierungs-Protokolle (Pendle), die zinstragende Vermögenswerte in separat handelbare Principal- und Yield-Token aufteilen. Jedes Muster verschiebt ein anderes Risiko zu einem anderen Akteur – und genau diese Verschiebung wird von den meisten „Best Vault”-Artikeln nicht offengelegt.
ERC-4626: der Standard, der das Spiel verändert hat
ERC-4626, 2022 final verabschiedet, standardisiert die Schnittstelle für tokenisierte Vaults: deposit(), withdraw(), convertToShares(), convertToAssets(). Vor 4626 implementierte jeder Vault seine eigene Deposit-Logik, was Integrationen brüchig und Audits teuer machte. Bis April 2026 halten ERC-4626-konforme Vaults zusammen rund 25 Milliarden US-Dollar TVL, verteilt auf Yearn V3, Morpho, Sky, Spark, Pendle, Ethena, Origin und einen langen Tail von Treasury-Wrappern. Der Standard erleichtert auch die Risikomodellierung – Drittanbieter-Tools können Share-zu-Asset-Verhältnisse einheitlich über Protokolle hinweg auslesen, was den Audit-Qualitätsvergleich in diesem Artikel überhaupt erst möglich macht.
Wie Vault-Aggregatoren tatsächlich funktionieren: Nutzer → Vault → Strategie → Underlying
Jeder Vault-Aggregator läuft auf einer vierschichtigen Architektur, und jede Schicht ist ein potenzieller Ausfallpunkt. Wer einen „Best Vault”-Vergleich liest, ohne in Schichten zu denken, ist später überrascht, wenn nicht der Vault selbst, sondern das zugrunde liegende Protokoll ausgenutzt wird.
Die 4-Schichten-Architektur
- Schicht 1 – Nutzer-Wallet: Der Einleger signiert eine Transaktion, die dem Vault-Contract erlaubt, seine Token zu nutzen. Das Risiko hier ist rein individuell (kompromittierte Wallet, falsche Contract-Freigabe, Phishing). Kein Protokollrisiko.
- Schicht 2 – Vault-Contract: Der Contract, der die Anteile hält, Ein- und Auszahlungen verarbeitet und Kapital an den Strategie-Contract weiterleitet. Das ist die Schicht, auf die sich die meisten Audits konzentrieren – aber wie wir in der Exploit-Timeline sehen werden, ist die Schicht, die in der Praxis am häufigsten versagt, Schicht 4.
- Schicht 3 – Strategie-Contract: Die Logik, die entscheidet, wo Kapital eingesetzt wird – Compound-Supply, Curve-LP plus geboostetes CRV, Aave-Borrow-and-Loop usw. Strategie-Contracts sind auf den meisten Plattformen aktualisierbar (ein Governance-Trade-off), und Impermanent Loss (der Wertverlust, wenn LP-Token sich vom direkten Halten der zugrunde liegenden Vermögenswerte entfernen), Oracle-Manipulation (ein Angreifer zwingt einen Preis-Feed zu falschen Werten) und Capacity Decay leben alle auf dieser Schicht.
- Schicht 4 – Zugrunde liegendes Protokoll: Der Aave-, Curve-, Lido- oder Pendle-Markt, mit dem die Strategie tatsächlich interagiert. Als Curves Vyper-Compiler im Juli 2023 einen Reentrancy-Bug auslieferte, war jede Convex-Strategie, die die betroffenen Pools berührte, exponiert – ohne dass Convex’ eigener Code schuld gewesen wäre. Schicht-4-Risiko ist der Grund, warum „audited and battle-tested”-Aussagen nicht ausreichen.
Wo jede Schicht versagen kann
Ein nützliches Denkmodell: Der veröffentlichte APY ist der Brutto-Output der Strategie. Der risikoadjustierte APY ist diese Zahl nach Abzug der gemeinsamen Ausfallwahrscheinlichkeit aller vier Schichten, gewichtet mit Ihrem Anlagehorizont. Die meisten „Best APY”-Vergleiche unterstellen stillschweigend, dass die Wahrscheinlichkeit von Schicht 4 null ist. Der Abschnitt zur Exploit-Timeline in diesem Leitfaden zeigt, dass diese Annahme um etwa eine Größenordnung daneben liegt.
Die 4 großen Vault-Aggregatoren 2026 – ein ehrlicher Side-by-Side-Vergleich
Total Value Locked, unterstützte Chains, Gebührenstrukturen und Governance unterscheiden sich bei den vier größten Aggregatoren erheblich. Pendle führt beim TVL um etwa Faktor neun gegenüber Yearn; Beefy deckt die meisten Chains ab; Convex’ TVL-Konzentration auf Curve macht es zum asymmetrischsten der vier. Die Zahlen unten sind gegen DefiLlama (Stand Mai 2026) verifiziert.
| Plattform | TVL (Mai 2026) | Chains | Strategie-Stil | Gebührenstruktur | Governance |
|---|---|---|---|---|---|
| Yearn V3 | $178.83M | 7 (Ethereum 72,5 %) | Klassischer Aggregator + Curator-Modus (V3) | 0 % Mgmt / 0 % Perf bei yvUSD; 2/20 bei Legacy-Vaults | YFI-Token, Multisig-Executor |
| Beefy | $186.43M | 40 Chains (am breitesten diversifiziert) | Auto-Compounding, Multi-Chain | 0,045 % Strategist + 4,5 % Performance | BIFI-Token, Treasury MultiSig |
| Convex | $627.62M | Ethereum (98 % konzentriert) | Curve-Booster (CRV-CVX-Schwungrad) | 16 % auf CRV-Rewards (10 % an CVX-Staker, 4 % an cvxCRV, 1 % an Caller, 1 % Plattform) | CVX vlCVX, vote-locked |
| Pendle | $1.614B (größter) | 11 Chains (Ethereum 58,6 %) | Yield-Tokenisierung (PT/YT-Split via SY) | 0 % Deposit; 3 % YT-Trading-Fee; Verzicht auf Redemption-Fee nach Maturity | vePENDLE, zeitgewichtet |
Yearn – der OG-Yield-Aggregator
Yearn hat das Vault-Modell erfunden, und seine V3-Architektur (2024 veröffentlicht, 2025–2026 ausgebaut) ist die flexibelste der vier. V3 trennt die Strategielogik vom Vault-Speicher und ermöglicht kuratierte Multi-Strategy-Vaults wie den yvUSD-Launch im Januar 2026 – ein Cross-Chain-Stablecoin-Vault mit 0 % Management- und 0 % Performance-Fee, bewusst so gestaltet, dass er mit Sky-Sparzinsen konkurriert, statt Retail-Renditen abzuschöpfen. Die Audit-Historie von Yearn (Trail of Bits, ChainSecurity, MixBytes, OpenZeppelin Foundation Review) ist die tiefste der vier. Der yDAI-Exploit von 2021 – im Timeline-Abschnitt besprochen – bleibt das einzige dokumentierte Verlustereignis des Protokolls.
Beefy – der Multi-Chain-Auto-Compounder
Beefy läuft im Mai 2026 auf 40 Blockchains – mehr als die anderen drei Plattformen zusammen. Das Auto-Compounding-Modell ist einfach: Einleger-Kapital fließt in LP-Positionen oder Single-Asset-Farms; Reward-Token werden gegen den zugrunde liegenden Asset verkauft und in festen Intervallen wieder eingezahlt. Die 4,5 % Performance-Fee plus 0,045 % Strategist-Allokation entspricht etwa den Branchenstandards. Die Audit-Abdeckung umfasst OpenZeppelin (Zap Tools), Sherlock (Cowcentrated LM Concentrated-Liquidity-Vaults), Zellic, Cyfrin und Certora. Trail of Bits fehlt auffällig, aber die Vielfalt der Sekundär-Auditoren kompensiert das. Beefy unterhält ein Bug-Bounty-Programm (aktiv seit Juli 2021, max. Auszahlung 75.000 US-Dollar) und hat zum Stand dieser Veröffentlichung keine dokumentierten Protokoll-Exploits in öffentlichen Aufzeichnungen.
Convex – der Curve-Booster
Convex ist strukturell eher eine Curve-Optimierungsschicht als ein generischer Vault-Aggregator. Die CVX-Einnahmen sind asymmetrisch an CRV-Emissionen gekoppelt (Q2 2026: 1,56 Mio. US-Dollar CRV-Erträge gegenüber nur 4.270 US-Dollar aus Nicht-CRV-Quellen; kumuliert 1,727 Mrd. US-Dollar an CRV-Erträgen gegenüber 56,55 Mio. US-Dollar aus anderen Quellen). Das ist Absicht: Das Wertversprechen des Protokolls besteht darin, veCRV-Stimmrechte zu konzentrieren und geboostete Renditen einzustreichen. Die asymmetrische Exposition ist kein Bug, aber sie ist eine Single-Protocol-Wette – und wie der Curve-Vyper-Exploit vom Juli 2023 zeigte, scheitern Convex-Strategien mit, wenn das zugrunde liegende Protokoll scheitert. Audit-Abdeckung: ChainSecurity (Wrapper), MixBytes (allgemein 2021), PeckShield (Frax/Wrapper/Sidechain-Audits 2022–2023).
Pendle – die Yield-Infrastrukturschicht
Pendle funktioniert mechanisch anders als die anderen drei. Zinstragende Vermögenswerte werden in einen Standardised-Yield-Token (SY) verpackt und dann in Principal Tokens (PT, bei Maturity 1:1 in den Underlying tauschbar) und Yield Tokens (YT, Anspruch auf aufgelaufene Rendite bis zur Maturity) aufgeteilt. Sowohl PT als auch YT handeln auf einer eigens entwickelten AMM, was Einlegern erlaubt, feste Raten zu sichern (PT mit Discount kaufen, bis zur Maturity halten) oder auf die Renditerichtung zu spekulieren (YT kaufen). Das Modell hat 1,614 Mrd. US-Dollar TVL angezogen – das größte der vier – und ist nach EigenLayer die Standardinfrastruktur für Restaking-Yield-Trading. Audit-Abdeckung: Spearbit (V2 Core, 12 identifizierte und behobene Issues), ChainSecurity, Ackee, Dedaub plus Code4rena-Warden-Wettbewerbe. Der PT/YT-Mint-Vorfall vom September 2024 – immer noch ohne öffentlich offengelegten Verlustbetrag – ist das einzige dokumentierte Stress-Ereignis.
Die Risikotaxonomie, die Vault-Marketing Ihnen nicht zeigt
Risiko in DeFi-Vaults ist keine einzelne Zahl. Es zerfällt in mindestens fünf orthogonale Kategorien, und der Gesamt-Risikoscore eines Vaults ist näherungsweise die gemeinsame Wahrscheinlichkeit, dass irgendeine dieser Kategorien ein Verlustereignis auslöst. Die folgende Taxonomie ist das, was vernünftige institutionelle Allokatoren verwenden – nicht das, was die meisten Vault-Landingpages offenlegen.
Smart-Contract-Risiko (mit Audit-Firmen-Verdikt)
Die Wahrscheinlichkeit, dass der Vault-Contract selbst einen ausnutzbaren Bug enthält. Mitigation: unabhängige Audits durch renommierte Firmen, öffentliche Bug-Bounty-Programme, zeitlich verzögerte Admin-Operationen. Allein die Anzahl der Audits ist ein schwaches Signal – entscheidend ist, welche Firmen, wann und welche Schwerebewertungen sie gemeldet haben.
| Plattform | Trail of Bits | OpenZeppelin | Spearbit | Sherlock | ChainSecurity | MixBytes | PeckShield | Bug-Bounty-Cap |
|---|---|---|---|---|---|---|---|---|
| Yearn V3 | ✅ (2021 v2) | ✅ (Foundation) | — | — | ✅ (V3, kein Critical) | ✅ (V3) | — | Aktiv |
| Beefy | — | ✅ (Zap Tools) | — | ✅ (Cowcentrated LM) | — | — | — | $75K (seit Juli 2021) |
| Convex | — | — | — | — | ✅ (Wrapper) | ✅ (allgemein 2021) | ✅ (Frax/Wrapper/Sidechain) | Aktiv |
| Pendle | — | — | ✅ (V2 Core, 12 Issues) | — | ✅ (V2 Core) | — | — | Aktiv (Code4rena) |
Strategie-Risiko (Impermanent Loss, Capacity Decay, Oracle-Abhängigkeit)
Die Wahrscheinlichkeit, dass der Strategie-Contract aus mechanischen Gründen unterperformt oder Kapital verliert – IL bei LP-Positionen, abnehmende APYs, sobald TVL über die Strategiekapazität hinauswächst, Oracle-Manipulation durch Angreifer. Strategie-Risiko ist am höchsten bei neu gestarteten Strategien und am niedrigsten bei stark battle-tested Strategien. Yearn V3s Trennung von Strategielogik und Vault-Speicher bedeutet, dass eine Strategie deaktiviert werden kann, ohne Anteilssalden zu beeinflussen; das ist eine risikomindernde architektonische Entscheidung, die Beefy teilweise teilt, Convex (das Strategie und Vault eng an Curve koppelt) jedoch nicht.
Curator-Risiko (Morpho-Stil-Curators sind keine Auditoren)
Bei Curator-basierten Vaults entscheidet der Curator, welche Märkte zugelassen sind und welche Allokationen erlaubt sind. Die Reputation eines Curators ist kein Ersatz für Code-Audits – das sind unterschiedliche Risikoschichten. Steakhouse Financial, Gauntlet, MEV Capital, Block Analitica und Apostro sind 2026 die am häufigsten genannten Curators; ihre veröffentlichten Methodologien sind öffentlich, aber ihre tatsächlichen Track-Records sind kurz (die meisten aktiven Curator-Historien sind unter 18 Monate alt). Yearn V3 ist durch die selektive Übernahme des Curator-Modus teilweise diesem Risiko ausgesetzt; Beefy und Pendle führen kein Curator-Modell, daher ist das Risiko für sie null.
Governance-Risiko (Admin-Keys, Time-Locks, Multi-Sig-Setup)
Die Wahrscheinlichkeit, dass ein privilegierter Akteur – Multi-Sig-Signer, Admin-Key-Halter, Governance-Proposer – den Vault leerräumt oder eine einseitige Parameteränderung vornimmt, die Wert vernichtet. Mitigationen: zeitlich verzögerte Admin-Operationen, Multi-Sig mit geografisch verteilten Signern, öffentliche Proposal-Foren. Alle vier Plattformen betreiben Multi-Sig-Admin; die Time-Lock-Dauer reicht von 24 Stunden (Beefy) bis 7 Tage (Yearn V3 bei kritischen Operationen).
Risiko des zugrunde liegenden Protokolls (die Kaskade, die niemand zugibt)
Das ist das Schicht-4-Risiko, das wir vorher diskutiert haben, und das, was die meisten retail-orientierten Vault-Vergleiche ignorieren. Als Curves Vyper-Compiler-Bug im Juli 2023 ausgeliefert wurde, war Convex’ eigener Code sauber – der Angriffsvektor lag upstream. Pendle-PT-Renditen hängen vom zugrunde liegenden zinstragenden Asset ab; wenn Lidos stETH jemals wieder depeggt wie kurzzeitig 2022, übertragen Pendles PT-stETH-Märkte den Verlust. Risiko des zugrunde liegenden Protokolls ist am höchsten bei Convex (Curve-Konzentration) und Pendle (Yield-Source-Vielfalt, aber enge Kopplung an jede Quelle); am niedrigsten bei Beefy (breiteste Underlying-Protokoll-Diversifikation über 40 Chains).
Die Vault-Exploit-Timeline mit über 200 Mio. US-Dollar (2021–2026)
Jeder „Best Vault”-Artikel, den Sie gelesen haben, geht davon aus, dass die historische Exploit-Rate ungefähr null ist. Das ist sie nicht. Unten finden Sie die verifizierte Aufzeichnung für die vier Plattformen in diesem Vergleich und einen indirekt verwandten Vorfall (Kelp DAO 2026-04-19), der das Kaskaden-Risikomuster veranschaulicht.
4. Februar 2021 – Yearn yDAI v1 Exploit
Als ich diesen Vorfall durch die On-Chain-Transaktionsaufzeichnungen rückverfolgte, wurde der Mechanismus klar. Ein Angreifer nutzte Flash Loans von Aave und dYdX, um den DAI-Preis im Curve-3pool zu manipulieren, dann deponierte und entzog er aus Yearns yDAI-v1-Vault, um etwa 11 Mio. US-Dollar Vault-Wert zu extrahieren. Die tatsächlich gestohlene Summe betrug rund 2,8 Mio. US-Dollar, nachdem Yearns Multi-Sig innerhalb von 11 Minuten nach Erkennung einen Notfall-Pause ausgeführt hatte und Tether kooperierte, um etwa 1,7 Mio. US-Dollar in USDT, die der Angreifer hielt, einzufrieren. Nettoverlust: rund 2,8 Mio. US-Dollar von 11 Mio. US-Dollar im Risiko; etwa 8,2 Mio. US-Dollar wurden zurückgewonnen. Ursache: Curve-Oracle-Manipulation via Flash Loans war damals ein bekannter Vektor; die Strategie des V1-Vaults berücksichtigte den Cross-Pool-Slippage nicht ausreichend. Yearns V2-Architektur (im selben Jahr veröffentlicht) ergänzte Oracle-Hardening; V3 trennte die Strategielogik, um ähnliche Probleme leichter eindämmen zu können.
2021–2026 – Beefy: Bug Bounty aktiv, keine dokumentierten Exploits
Beefy unterhält seit Juli 2021 ein aktives Bug-Bounty-Programm (aktueller Cap: 75.000 US-Dollar). Stand Mai 2026 dokumentieren öffentliche Aufzeichnungen keinen erfolgreichen Exploit gegen Beefys Vault-Contracts. Das ist eine saubere Betriebsbilanz über fünf Jahre, auch wenn die fehlenden veröffentlichten Beinahe-Treffer es unmöglich machen, die Anzahl der durch das Bug-Bounty verhinderten Vorfälle zu verifizieren.
30. Juli 2023 – Curve-Vyper-Compiler-Exploit (73,5 Mio. US-Dollar, Convex-Auswirkung)
Die Vyper-Compiler-Versionen 0.2.15, 0.2.16 und 0.3.0 enthielten einen Reentrancy-Guard-Bug, der es ermöglichte, bestimmte Curve-Liquiditätspools zu leeren (siehe Halborns Post-Mortem für die technische Aufschlüsselung). Aus Pools von JPEG’d, Alchemix, Pendle (ein früher Pendle-stETH-Pool) und Metronome wurden ungefähr 73,5 Mio. US-Dollar entzogen. Davon wurden rund 53 Mio. US-Dollar (73 %) nach einem 10-%-Bug-Bounty-Angebot schließlich von den Angreifern zurückgegeben. Convex-Strategien, die die betroffenen Pools berührten – einschließlich einiger CVX-ETH-Liquiditätsbereitstellungs-Strategien – trugen während des Vorfalls Mark-to-Market-Verluste, obwohl die Convex-Contracts selbst unkompromittiert waren. Das ist das kanonische Beispiel für Schicht-4-Kaskaden-Risiko: sauberer Vault-Code, ausgenutzter Underlying.
September 2024 – Pendle PT/YT unautorisierter Mint-Vorfall
Ein Exploiter (in einigen Berichten als „Einzeltäter” beschrieben) konnte PT- und YT-Token minten, ohne entsprechende zugrunde liegende Vermögenswerte zu hinterlegen, und sie dann auf der AMM abladen. Der PENDLE-Token-Preis fiel von seinem Allzeithoch auf etwa 4,13 US-Dollar, bevor er sich erholte. Pendles Protokoll-Team charakterisierte den Vorfall öffentlich als keinen Protokoll-Breach. Entscheidend ist: Keine öffentliche Quelle hat einen konkreten Dollarbetrag für den Verlust offengelegt, sodass jede „X Mio. US-Dollar”-Behauptung zu diesem Vorfall unbelegt ist. Wir erwähnen ihn, weil der Mechanismus – Token-Erstellungslogik, die die Besicherung nicht durchsetzt – eine Bug-Klasse darstellt, für die 4626-konforme Vaults strukturell anfällig sind.
19. April 2026 – Kelp DAO LayerZero Exploit (292 Mio. US-Dollar, indirekte Lehre)
Kein Vault-Aggregator-Exploit, aber erwähnenswert, weil er das Kaskadenmuster unter 2026er-Bedingungen veranschaulicht. Kelp DAOs rsETH-on-LayerZero-Märkte wurden um etwa 292 Mio. US-Dollar geleert, als eine LayerZero-Bridge-Schwachstelle ausgenutzt wurde. Pendle-PT-rsETH- und YT-rsETH-Märkte übertrugen die Auswirkung direkt auf Einleger, die diese Token für Fixed-Yield-Exposure gekauft hatten. Die Lehre: 2026 ist das Risiko von Restaking-bezogenen zugrunde liegenden Protokollen rund eine Größenordnung größer als das eigene Contract-Risiko des Vault-Aggregators, und Einleger, die das nicht explizit bepreisen, unterbewerten es systematisch. Unser Begleitartikel zu Liquid Restaking 2026 behandelt die Slashing-und-Bridge-Schicht im Detail.
Der risikoadjustierte APY-Rechner – ehrliche Mathematik für 2026
Der Weg, die Timeline und die Risikotaxonomie zu nutzen, besteht darin, sie in einen expliziten Discount auf beworbene APYs umzuwandeln. Die Formel unten ist ein Daumenwerkzeug – kein institutionelles Risikomodell – aber sie erfasst die richtige Struktur.
Die Formel
Risikoadjustierter APY = Beworbener APY × Audit-Qualitäts-Discount × Underlying-Protokoll-Discount × Zeit-Horizont-Discount
Wobei der Audit-Qualitäts-Discount von 0,85 (mehrere Top-Tier-Audits, öffentliches Bug-Bounty mit 200.000 US-Dollar+, keine dokumentierten Exploits) bis 0,50 (einzelnes Audit, kein Bounty, kürzlicher Launch) reicht; der Underlying-Protokoll-Discount reicht von 0,90 (breit diversifiziert über battle-tested Protokolle) bis 0,55 (Single-Protocol-Konzentration, kürzliche Exploit-Historie); und der Zeit-Horizont-Discount reicht von 0,95 (unter 30 Tagen, geringe Compounding-Exposition) bis 0,70 (über 365 Tagen, volle Exploit-Fenster-Exposition).
Durchgerechnete Beispiele
| Vault-Beispiel | Beworbener APY | Audit-Qualität (×) | Underlying-Protokoll (×) | Zeit-Horizont 90T (×) | Risikoadjustierter APY |
|---|---|---|---|---|---|
| Yearn yvUSD (Cross-Chain Stables) | 5.20% | 0.85 | 0.85 | 0.85 | 3.20% |
| Beefy ETH-stETH LP | 8.50% | 0.75 | 0.85 | 0.85 | 4.61% |
| Convex stETH-ETH | 6.80% | 0.75 | 0.65 (Curve-Konzentration) | 0.85 | 2.82% |
| Pendle PT-eUSD (90T bis Maturity) | 22.00% | 0.80 | 0.55 (Ethena-Underlying) | 0.85 | 8.23% |
Wenn ich neue Vaults selbst durch dieses Discount-Arbeitsblatt jage, passieren konsistent zwei Dinge: Nominale Yield-Rangfolgen kippen, und der Spread zwischen hochbeworbenen Vaults mit hohen Gebühren und unscheinbaren Stablecoin-Vaults komprimiert sich dramatisch. Der Sinn der Tabelle ist nicht, zu behaupten, diese spezifischen Discount-Faktoren seien richtig. Der Sinn ist, dass das Durchrechnen beworbener APYs durch irgendeinen disziplinierten Discount Reihenfolgeänderungen erzeugt, die „Best APY”-Listen nie zeigen. Pendle PT-eUSD sieht bei 22 % attraktiv aus, aber der Underlying-Protokoll-Discount (Ethenas Basis-Trade-plus-Staked-ETH-Modell ist neuartig und noch nicht exploit-getestet) drückt es deutlich. Yearn yvUSD wirkt mit 5,2 % langweilig, hält sich aber nach den Discounts, weil jeder Multiplikator hoch ist.
Den richtigen Vault-Aggregator nach Persona wählen
Risikoprofil und Kapitalgröße bestimmen gemeinsam, welcher Aggregator zu welchem Einleger passt. Die folgenden Personas sind bewusst grob; verfeinern Sie sie für Ihre Situation.
Konservativ (1.000–10.000 US-Dollar Krypto, keine DeFi-Historie)
Aus der Begleitung von Erstanlegern durch ihre ersten Vault-Sessions ist die Empfehlung, die durchgängig gut ankommt, Yearn V3 yvUSD oder ein von Steakhouse Financial kuratierter Morpho-Stablecoin-Vault. Beide priorisieren niedriggebührigen, auditierten Stablecoin-Yield mit mehreren zeitlich verzögerten Admin-Schichten. Vermeiden Sie Pendle-PT/YT-Mechanik, bis Sie eine 100-US-Dollar-Testanlage bis zur Maturity durchlaufen haben; die Optionalität sieht attraktiv aus, aber die Maturity-Redemption-Mechanik überrascht Erstanwender.
Aktiver Manager (10.000+ US-Dollar, sicher mit Chain-Wechsel)
Beefy auf zwei oder drei seiner 40 Chains (Arbitrum, Base und Polygon sind 2026 die aktivsten), plus selektive Convex-Exposure für stablecoin-orientierte Curve-LPs. Die Active-Manager-Wette ist, dass Sie umrotieren können, bevor irgendein einzelnes zugrunde liegendes Protokoll versagt; Voraussetzung ist echtes Beobachten von Dashboards (DefiLlama für TVL-Trends, das Beefy-eigene Dashboard für Vault-Level-APY und DeFiScan oder Debank für Einzelpositions-Tracking) statt zu deponieren und zu vergessen.
Yield-Maximierer (bereit, 90 Tage zu locken)
Pendle-PT-Positionen auf stable-orientierten Underlyings – PT-sUSDe, PT-USR, PT-yvUSD – sind 2026 die höchste risikoadjustierte Rendite, sofern Sie die Maturity-Sperre akzeptieren. Vermeiden Sie PT-rsETH oder andere Restaking-PTs, bis Sie die Slashing-plus-Bridge-Kaskade explizit bepreist haben; der Kelp-DAO-Vorfall vom April 2026 ist die jüngste Erinnerung.
Restaking-interessiert (bereits in DF-2-Territorium)
Wenn Sie bereits in EigenLayer, Symbiotic oder Karak gemäß unserem Liquid Restaking 2026-Leitfaden eingezahlt haben, lassen Sie Pendle PT-LRTs feste Renditen sichern, während die Slashing-Exposition bei den YT-Haltern bleibt. Das ist mechanisch das richtige Werkzeug, um variable Restaking-Renditen in deterministische Erträge zu verwandeln – aber der Trade-off ist die volle Exposition gegenüber der Solvenz des LRT-Emittenten bis zur Maturity.
Häufige Fallstricke – was selbst erfahrene DeFi-Nutzer falsch machen
Nominalem APY hinterherjagen, ohne die Emissions-Nachhaltigkeit zu prüfen
Ein beworbener APY von 50 %, der auf einem 90-Tage-Token-Emissionsplan beruht, kollabiert auf 5 %, sobald der Plan endet. Prüfen Sie immer die Emissionskurve, bevor Sie in einen „neuen” Vault einzahlen.
Ignorieren des Kaskadenrisikos des zugrunde liegenden Protokolls
Der Curve-Vyper-Exploit von 2023 hat den Punkt einmal gemacht. Der Kelp-DAO-Vorfall vom April 2026 erneut. Wenn Sie nicht benennen können, von welchem zugrunde liegenden Protokoll Ihre Vault-Strategie abhängt, verstehen Sie Ihre Position nicht.
Curator-Reputation vertrauen, ohne die Audit-Kette zu prüfen
„Curated by Steakhouse Financial” sagt Ihnen die Allokationsmethodologie des Curators; es sagt Ihnen nicht, ob die zugrunde liegenden Märkte auf der Whitelist des Curators unabhängig auditiert wurden. Beide Prüfungen sind erforderlich.
Steuerereignisse beim Auto-Compounding vergessen
In Jurisdiktionen wie den USA, dem Vereinigten Königreich und Deutschland ist jedes Auto-Compound potenziell ein steuerpflichtiges Ereignis in dem Moment, in dem der Reward-Token verkauft und neu deponiert wird. Beefy- und Yearn-Vaults compounden Dutzende Male pro Jahr. Unser Begleitartikel zum AI Crypto Tax 2026 führt durch den Tracking-Workflow, der das handhabbar statt unmöglich macht.
Häufig gestellte Fragen
Ist ein DeFi-Vault dasselbe wie ein Yield Aggregator?
Größtenteils ja. „Vault” ist der Begriff auf Smart-Contract-Ebene (der Contract, der die Anteile hält); „Yield Aggregator” ist der Begriff auf Produktebene (die Plattform, die Vaults betreibt). Yearn, Beefy, Convex und Pendle sind alle Yield Aggregators, sie implementieren ihre Vaults aber mit unterschiedlicher zugrunde liegender Mechanik. Curator-basierte Plattformen wie Morpho betreiben ebenfalls Vaults, leiten Kapital aber anders.
Kann ein Vault mein gesamtes Geld verlieren?
Ja. Wenn der Vault-Contract ausgenutzt wird, wenn der Strategie-Contract ausgenutzt wird, wenn das zugrunde liegende Protokoll ausgenutzt wird oder wenn ein Governance-Angriff Parameter böswillig ändert, können Einleger 100 % des Kapitals verlieren. Der risikoadjustierte APY-Rechner in diesem Leitfaden existiert, weil diese Wahrscheinlichkeit nicht null ist.
Gibt es Versicherungsoptionen für Vault-Einlagen?
Begrenzt. Nexus Mutual, Sherlock und einige kleinere Protokolle bieten Smart-Contract-Versicherungen für ausgewählte Vaults, typischerweise mit 1–3 % p. a. auf den abgedeckten Betrag. Die Deckung erstreckt sich selten auf Exploits zugrunde liegender Protokolle oder Governance-Angriffe, und Auszahlungen hängen von Community-Schiedsverfahren ab. Versicherungen reduzieren das Tail-Risiko, eliminieren es aber nicht.
Wie werden Vault-Auto-Compounding-Renditen besteuert?
Jurisdiktions- und ereignisabhängig. Viele Steuerbehörden behandeln jede Auto-Compound-Transaktion als Veräußerung des Reward-Tokens und frischen Erwerb des Underlyings. Das erzeugt Dutzende Mikro-Ereignisse pro Vault und Jahr. Tracking-Tools wie Koinly, Cointracker und CoinTracking importieren Vault-Transaktionen automatisch; manuelles Tracking ist auf Retail-Skala unpraktikabel.
Sollte ich einen Curator-Vault oder einen klassischen Aggregator nutzen?
Hängt davon ab, was Sie auslagern wollen. Curator-Vaults lagern Markt-Allokationsentscheidungen an einen benannten Risikomanager aus; Sie vertrauen seiner Methodologie. Klassische Aggregators (Yearn V3 Legacy, Beefy, Convex) lagern die Strategieausführung an fest codierte Contracts aus; Sie vertrauen dem Code-Review. Beide haben Failure-Modes. Die ehrlichste Antwort ist, in beide Stile zu allokieren und vierteljährlich zu rebalancieren.
Fazit – die ehrliche Sicht auf Vaults 2026
DeFi-Vaults sind 2026 gleichzeitig sicherer und komplexer als 2021. Audit-Qualität hat sich auf der ganzen Linie verbessert; die Signale institutioneller Adoption (Kraken DeFi Earn launcht am 26. Januar 2026; Bitwise’s Morpho-Vault mit 6 % APY auf USDC; PayPal PYUSD auf Spark und Morpho) reflektieren echte Upgrades im Risikomanagement. Gleichzeitig ist das Kaskadenrisiko der zugrunde liegenden Protokolle gewachsen – Restaking, Yield Trading und Curator-Allokation stapeln neue Schichten oberhalb des Vault-Contracts, und jede Schicht ist ein potenzieller Ausfallpunkt.
Die ehrliche Einordnung lautet: Wählen Sie Aggregators mit tiefer Audit-Abdeckung – Yearn V3 hat die breiteste Top-Tier-Firmen-Präsenz (Trail of Bits plus ChainSecurity plus MixBytes plus OpenZeppelin Foundation), während Pendle auf Multi-Auditor-Vielfalt setzt (Spearbit plus ChainSecurity plus Ackee plus Dedaub plus Code4rena-Warden-Wettbewerbe) –, diversifizieren Sie über zugrunde liegende Protokolle (Beefys Chain-Spread ist dafür wirklich nützlich) und discounten Sie beworbene APYs nach Kategorie. Führen Sie eine 100-US-Dollar-Testanlage durch, bevor Sie echtes Kapital binden, beobachten Sie die Maturity-Mechanik einen vollen Zyklus lang bei Pendle-Positionen und lesen Sie die Exploit-Timeline der zugrunde liegenden Protokolle erneut, bevor Sie in restaking-bezogene Vaults einzahlen. Die 50-%-APY-Plakatwand existiert, weil jemand dafür zahlt. Lesen Sie die Rechnung sorgfältig.
Weiterlesen
- Beste Stablecoin-Sparzinsen 2026 – CeFi vs. DeFi Yield-Baseline (S1)
- Liquid Staking 2026: Lido, Rocket Pool und Frax – Wie sich LSTs von Vault-Aggregators unterscheiden (DF-1)
- Liquid Restaking 2026: EigenLayer, Symbiotic und Karak – Die Slashing-Risiko-Schicht über LSTs (DF-2)
- Was ist DeFi? – Grundlagen-Primer (Art13)
- Krypto Passives Einkommen 2026 – Yield-Strategien-Taxonomie (Art15)
- AML-Score-Drift erklärt – Warum Vault-Einlagen Ihre Wallet kontaminieren können (EX-2)
- AI Crypto Tax 2026 – Tracking von Auto-Compounding-Vault-Gewinnen (AI-2)
Krypto-Analyst bei ChainGain
Alex berichtet seit 2019 über Kryptowährungsmärkte und Blockchain-Technologie. Er konzentriert sich auf praktische Leitfäden, die Menschen in Schwellenländern helfen, Krypto für Ersparnisse, Zahlungen und Überweisungen zu nutzen. Vollständige Biografie
Haftungsausschluss: Dieser Artikel dient ausschließlich Bildungszwecken und stellt keine Finanz-, Rechts- oder Steuerberatung dar. DeFi-Vaults bergen Smart-Contract-Risiko, Strategie-Risiko, Governance-Risiko und Risiken des zugrunde liegenden Protokolls, die zum Totalverlust des eingezahlten Kapitals führen können. Audit-Abdeckung reduziert diese Risiken, eliminiert sie aber nicht. Recherchieren Sie immer selbst, führen Sie kleine Testanlagen durch, bevor Sie signifikantes Kapital binden, und zahlen Sie niemals mehr ein, als Sie sich leisten können zu verlieren. Die steuerliche Behandlung von Auto-Compounding-Renditen variiert je nach Jurisdiktion; konsultieren Sie für Ihre konkrete Situation einen qualifizierten Steuerberater.
