Ein Phishing-Angriff auf das Polymarket-Frontend hat eine der hartnäckigsten Schwachstellen im dezentralen Finanzwesen offengelegt: die Lieferkette. Wenn Angreifer keine Smart Contracts eines Protokolls knacken müssen, um Millionen abzuziehen, müssen sie nur einen Drittanbieter kompromittieren, der unauffällig im Hintergrund des Codes einer beliebten Plattform sitzt.
Summary
Wichtigste Erkenntnisse
- Ein kompromittierter Drittanbieter injizierte bösartigen Code in das Frontend von Polymarket und ermöglichte so einen Phishing-Angriff, bei dem ungefähr 2,94 Millionen US-Dollar aus mindestens 11 Nutzer-Wallets gestohlen wurden.
- Polymarket entfernte die bösartige Abhängigkeit, begrenzte den Vorfall und sagte zu, alle betroffenen Nutzer vollständig zu entschädigen.
- Blockchain-Analyst Specter bestätigte, dass die gestohlenen PUSD in ETH getauscht und in einer einzigen Adresse konsolidiert wurden.
- DefiLlama verzeichnete den Vorfall als den 89. Krypto-Sicherheitsverstoß im 2. Quartal 2026, die höchste vierteljährliche Vorfallzahl in seinen Aufzeichnungen.
- Im Juni 2026 kam es laut DefiLlama zu Verlusten in Höhe von 74,9 Millionen US-Dollar durch 29 Exploits.
Details zum Phishing-Angriff auf das Polymarket-Frontend
Der Polymarket-Phishing-Angriff nutzte keine Schwachstelle in den Smart Contracts oder der Kerninfrastruktur der Plattform aus. Stattdessen gingen die Angreifer durch die Seitentür – über einen Drittanbieter, dessen kompromittierte Zugriffsrechte ihnen ermöglichten, ein bösartiges Skript direkt in die Frontend-Oberfläche von Polymarket einzuschleusen.
Diese Unterscheidung ist wichtig. Nutzer, die mit einer Oberfläche interagierten, die wie das normale Polymarket-Interface aussah, waren unwissentlich Code ausgesetzt, der darauf ausgelegt war, Gelder aus ihren verbundenen Wallets zu stehlen. Der Angriffsvektor war leise, unsichtbar und effektiv.
Injection von bösartigem Code über einen Drittanbieter
Polymarket machte den Vorfall auf X öffentlich und bestätigte, dass ein Drittanbieter kompromittiert worden war und genutzt wurde, um ein bösartiges Skript in das Frontend der Plattform für einige Nutzer einzuspielen. Die Plattform beschrieb die Abfolge klar: entdecken, eindämmen, entfernen, erstatten.
„Heute Morgen haben wir entdeckt, dass ein Drittanbieter kompromittiert wurde, der ein bösartiges Skript in unser Frontend für einige Nutzer injizierte. Wir haben es eingedämmt und die betroffene Abhängigkeit entfernt. Wir kontaktieren betroffene Nutzer und erstatten ihnen den vollen Betrag“, postete Polymarket Traders am 25. Juni 2026.
Blockchain-Analyst Specter stufte den Vorfall als Phishing-Kampagne und nicht als direkten Protokoll-Exploit ein. Das injizierte Skript wartete darauf, dass Nutzer mit der kompromittierten Oberfläche interagierten, und wurde dann aktiv, um Gelder aus verbundenen Wallets abzuziehen.
Auswirkungen des Angriffs und betroffene Wallets
Specter schätzte die Verluste auf ungefähr 2,94 Millionen US-Dollar, die aus mindestens 11 Opfer-Wallets abgezogen wurden. Die gestohlenen Vermögenswerte, die in PUSD gehalten wurden, wurden in ETH getauscht und in eine einzige konsolidierte Adresse geleitet – ein Muster, das mit schnellen Geldwäscheversuchen nach einem DeFi-Diebstahl übereinstimmt.
Das Ausmaß des Verlusts unterstreicht, wie effektiv Angriffe auf Frontend-Ebene sein können. Selbst bei relativ wenigen kompromittierten Wallets erreichte der Dollarbetrag fast drei Millionen US-Dollar, was die Größe der Positionen widerspiegelt, die einige Nutzer auf der Prognosemarkt-Plattform hielten.
Reaktion der Plattform und Entschädigung der Nutzer
Polymarket handelte schnell, sobald der Verstoß identifiziert war. Die bösartige Abhängigkeit wurde entfernt, der Vorfall wurde eingedämmt, und die Plattform verpflichtete sich, jeden betroffenen Nutzer vollständig zu entschädigen.
Eindämmung des Vorfalls und Entfernung der bösartigen Abhängigkeit
Die Reaktion folgte einer klaren und transparenten Abfolge: das kompromittierte Element isolieren, es von der Plattform entfernen und öffentlich kommunizieren. Polymarket bestätigte, dass betroffene Nutzer aktiv direkt kontaktiert wurden, anstatt darauf zu warten, dass sich Nutzer selbst melden.
Dieser Ansatz – proaktive Kontaktaufnahme kombiniert mit einer Zusage zur vollständigen Erstattung – spiegelt wider, dass DeFi-Plattformen zunehmend verstehen, dass einmal erschüttertes Nutzervertrauen weit schwerer wiederherzustellen ist als der verlorene Dollarbetrag.
Verpflichtung zu vollständigen Rückerstattungen für betroffene Nutzer
Das Versprechen einer vollständigen Erstattung für alle betroffenen Nutzer ist bedeutsam. Auch wenn der genaue Zeitpunkt und der Verteilungsmechanismus für diese Rückerstattungen nicht spezifiziert wurden, setzt das öffentliche Bekenntnis den Ruf von Polymarket direkt aufs Spiel. Für eine Prognosemarkt-Plattform, die von Nutzerbeteiligung und Liquidität abhängt, ist diese Verantwortlichkeit sowohl finanziell als auch strategisch.
Einordnung des Vorfalls in die Krypto-Sicherheit
Der Polymarket-Vorfall ereignete sich nicht isoliert. Er fiel in ein Quartal, das bereits unerwünschte Rekorde bei Krypto-Sicherheitsversagen aufgestellt hat.
DefiLlama meldet Rekordzahl an Krypto-Sicherheitsverstößen im 2. Quartal 2026
DefiLlama verzeichnete den Polymarket-Verstoß als den 89. Krypto-Sicherheitsvorfall des 2. Quartals 2026 – und machte ihn damit zur höchsten vierteljährlichen Vorfallzahl, die die Analyseplattform je erfasst hat. Diese Zahl allein signalisiert ein systemisches Problem: mehr Angriffe, häufiger, über ein breiteres Spektrum von Plattformen und Vektoren.
Kompromittierte Private Keys machten in den vergangenen 30 Tagen laut DefiLlama 43 % der Exploit-Verluste aus. Fake-Proof-Exploits standen für 10 % der Verluste, und Reverse-MEV-Honeypots für 8 %. Der Polymarket-Angriff, der in einem Frontend-Lieferkettenkompromiss und nicht in einem Private-Key- oder Protokollfehler wurzelt, zeigt, dass Angreifer ihre Methoden diversifizieren, während sich die Abwehrmaßnahmen gegen traditionelle Vektoren verbessern.
Überblick über Exploits und Verluste im Juni 2026
DefiLlama meldete 74,9 Millionen US-Dollar an Verlusten durch 29 Krypto-Exploits allein im Juni 2026. Diese Zahl übertraf die 60,5 Millionen US-Dollar im Mai, blieb aber deutlich unter den 644 Millionen US-Dollar im April – einem Monat, in dem einige der größten einzelnen DeFi-Diebstähle des Jahres stattfanden.
Der größte einzelne Vorfall im Juni war ein 36-Millionen-US-Dollar-Exploit, der auf Humanity Protocol abzielte. Weitere bemerkenswerte Angriffe umfassten einen 4,7-Millionen-US-Dollar-Exploit auf die Secret-Network-Bridge, zwei separate 2,1-Millionen-US-Dollar-Exploits, die Aztec betrafen, und einen 1,7-Millionen-US-Dollar-Bridge-Exploit auf Taiko. Vor diesem Hintergrund liegt Polymarkets Verlust von 2,94 Millionen US-Dollar im mittleren Bereich der Juni-Vorfälle nach Dollarwert – doch seine Methode und sein Kontext machen ihn besonders lehrreich.
Früherer Sicherheitsvorfall bei Polymarket
Der Frontend-Angriff im Juni war nicht die erste Sicherheits-Schlagzeile von Polymarket in diesem Quartal. Etwa einen Monat zuvor machte die Plattform einen separaten Verstoß öffentlich, der eine deutlich ältere Schwachstelle betraf.
Kompromittierter sechs Jahre alter Private Key mit einem Verlust von 600.000 US-Dollar
Angreifer nutzten einen sechs Jahre alten Private Key aus, der mit einem internen Top-up-Operations-Wallet verknüpft war, und erbeuteten etwa 600.000 US-Dollar. Sicherheitsforscher ZachXBT, PeckShield und Bubblemaps meldeten zunächst verdächtige Aktivitäten im Zusammenhang mit Polymarkets UMA-CTF-Adapter-Contract auf Polygon. Bubblemaps stellte fest, dass Angreifer alle 30 Sekunden 5.000 POL abzogen, bevor die Gesamtverluste auf rund 600.000 US-Dollar geschätzt wurden.
Klarstellung zur Ursache des Vorfalls und zur Sicherheit der Plattform
Polymarket-Protokollbeitragender Shantikiran Chanal stellte später klar, dass der frühere Vorfall auf ein kompromittiertes Wallet zurückging, das ausschließlich für interne Abläufe genutzt wurde, und nicht auf einen Fehler in den Verträgen oder der Kerninfrastruktur der Plattform. Vizepräsident für Technik Josh Stevens bestätigte, dass Nutzerfonds und Smart Contracts während des gesamten Vorfalls sicher geblieben seien und dass alle Berechtigungen, die mit dem kompromittierten Schlüssel verknüpft waren, widerrufen wurden.
Zwei separate Vorfälle, im Abstand von einem Monat, mit völlig unterschiedlichen Angriffsvektoren – einmal ein vergessener Private Key, einmal ein kompromittierter Lieferketten-Drittanbieter – zeichnen ein herausforderndes Bild für eine Plattform, die rasantes Wachstum und Altlasten in der Sicherheit gleichzeitig bewältigen muss. Der Frontend-Phishing-Angriff hebt insbesondere eine Risikokategorie hervor, die viele DeFi-Plattformen teilen, gegen die jedoch nur wenige vollständig gehärtet sind: das implizite Vertrauen in Drittanbieter-Code, der auf ihren Benutzeroberflächen läuft.
FAQ
Wie kam es zu dem Polymarket-Phishing-Angriff?
Angreifer kompromittierten einen Drittanbieter und injizierten bösartigen Code in die Frontend-Oberfläche von Polymarket. Wenn Nutzer mit der kompromittierten Oberfläche interagierten, wurde das Skript aktiv und stahl Gelder direkt aus ihren verbundenen Wallets.
Welcher Betrag wurde beim Polymarket-Phishing-Angriff gestohlen und wie viele Nutzer waren betroffen?
Es wurden ungefähr 2,94 Millionen US-Dollar aus mindestens 11 Nutzer-Wallets gestohlen. Die gestohlenen PUSD wurden in ETH getauscht und in einer einzigen Wallet-Adresse konsolidiert, die vom Blockchain-Analysten Specter identifiziert wurde.
Wie reagierte Polymarket auf den Phishing-Angriff?
Polymarket hat die bösartige Abhängigkeit entfernt, den Vorfall eingedämmt und sich verpflichtet, alle betroffenen Nutzer vollständig zu entschädigen. Die Plattform erklärte außerdem, dass sie betroffene Nutzer direkt kontaktiere.
Was ist der breitere Kontext dieses Angriffs im Rahmen der Krypto-Sicherheitstrends?
Der Angriff wurde von DefiLlama als der 89. Krypto-Sicherheitsverstoß des 2. Quartals 2026 erfasst, was ihn zur höchsten vierteljährlichen Vorfallzahl in den Aufzeichnungen macht. Allein im Juni 2026 kam es zu Verlusten von 74,9 Millionen US-Dollar durch 29 Exploits, wobei kompromittierte Private Keys 43 % der jüngsten Exploit-Verluste ausmachten.
{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Wie kam es zu dem Polymarket-Phishing-Angriff?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Angreifer kompromittierten einen Drittanbieter und injizierten bösartigen Code in die Frontend-Oberfläche von Polymarket. Wenn Nutzer mit der kompromittierten Oberfläche interagierten, wurde das Skript aktiv und stahl Gelder direkt aus ihren verbundenen Wallets.“}},{„@type“:“Question“,“name“:“Welcher Betrag wurde beim Polymarket-Phishing-Angriff gestohlen und wie viele Nutzer waren betroffen?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Es wurden ungefähr 2,94 Millionen US-Dollar aus mindestens 11 Nutzer-Wallets gestohlen. Die gestohlenen PUSD wurden in ETH getauscht und in einer einzigen Wallet-Adresse konsolidiert, die vom Blockchain-Analysten Specter identifiziert wurde.“}},{„@type“:“Question“,“name“:“Wie reagierte Polymarket auf den Phishing-Angriff?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Polymarket hat die bösartige Abhängigkeit entfernt, den Vorfall eingedämmt und sich verpflichtet, alle betroffenen Nutzer vollständig zu entschädigen. Die Plattform erklärte außerdem, dass sie betroffene Nutzer direkt kontaktiere.“}},{„@type“:“Question“,“name“:“Was ist der breitere Kontext dieses Angriffs im Rahmen der Krypto-Sicherheitstrends?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Der Angriff wurde von DefiLlama als der 89. Krypto-Sicherheitsverstoß des 2. Quartals 2026 erfasst, was ihn zur höchsten vierteljährlichen Vorfallzahl in den Aufzeichnungen macht. Allein im Juni 2026 kam es zu Verlusten von 74,9 Millionen US-Dollar durch 29 Exploits, wobei kompromittierte Private Keys 43 % der jüngsten Exploit-Verluste ausmachten.“}}]}
Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.
