Polymarket, die volumenstärkste Blockchain-Prognoseplattform, erlitt am 25. Juni 2026 einen Verlust von rund 3,1 Millionen US-Dollar durch einen Angriff auf die Website. Nur wenige Tage zuvor hatte die Plattform betroffenen Nutzern vollständige Rückerstattung zugesagt. Die Smart Contracts von Polymarket blieben dabei unversehrt. Der Angriff erfolgte über einen kompromittierten Drittanbieter, der schädlichen Code in das Frontend injizierte. Elf Nutzer-Wallets wurden geleert; die entwendeten pUSD-Bestände wurden in insgesamt 1.893 ETH getauscht und auf Adressen unter Kontrolle der Angreifer transferiert.
Bemerkenswert ist das Timing: Bereits der zweite Sicherheitsvorfall innerhalb von fünf Wochen, und die Rückerstattungszusage wurde ausgesprochen, bevor das volle Ausmaß der Verluste bekannt war. Im Folgenden wird erklärt, wie der Angriff ablief, weshalb das Timing relevant ist und was dies für Sicherheitsrisiken bei Prognosemärkten und DeFi allgemein bedeutet.
Was ist beim Polymarket-Hack passiert?
Der Angriff war ein Supply-Chain-Kompromittierung und kein Smart-Contract-Exploit. Die On-Chain-Verträge funktionierten wie vorgesehen. Schwachstelle war die Webschnittstelle zwischen Nutzer und Contract: Ein Drittanbieter wurde kompromittiert und ein bösartiges Skript ins Frontend eingeschleust. Beim Laden der Website lief das Skript im Browser und veranlasste Nutzer, ungewollte Wallet-Transaktionen zu signieren. Die Signaturen wirkten unauffällig; Warnsignale blieben aus.
Das Ziel war pUSD, Polymarkets USDC-besicherter Stablecoin. Nach der Übernahme tauschten die Angreifer pUSD gegen Ethereum, bridgten die Mittel vom Polygon-Netzwerk ins Ethereum-Mainnet und konsolidierten alles in einer Wallet. Zunächst wurde ein Verlust von 2,9 Millionen US-Dollar vermutet; wenige Tage später wurde der Betrag auf 3,1 Millionen US-Dollar nach oben korrigiert, was die Rückerstattungszusage im Nachhinein als verfrüht erscheinen ließ.
Vereinfacht erklärt: Der Safe wurde nicht geknackt. Stattdessen wurde das Zugangsterminal manipuliert, sodass Nutzer bei normalen Aktionen unwissentlich eine Überweisung an Angreifer autorisierten. Deshalb konnten Stablecoins aus eigenen Wallets abfließen, obwohl die Contracts funktionierten – das Interface war kompromittiert.
Warum ist das Timing nach der Rückerstattungszusage wichtig?
Polymarket reagierte schnell: Nach Bekanntwerden entfernte das Team die schadhafte Abhängigkeit, schloss die Sicherheitslücke und sagte vollständige Rückerstattung an betroffene pUSD-Halter zu. An sich ist das die richtige Vorgehensweise: Verlust anerkennen, Schwachstelle schließen, Nutzer entschädigen. Problematisch war die Reihenfolge: Die Zusage kam, bevor der Verlustbetrag von 2,9 auf 3,1 Millionen US-Dollar anstieg. Dadurch wirkte das Versprechen voreilig.
Vertrauen auf einer Handelsplattform basiert auf dem Abgleich zwischen Zusage und Realität. Wenn Zusagen gemacht werden, die Summe aber anschließend steigt, fragen sich Nutzer unweigerlich: Ist 3,1 Millionen das finale Ausmaß? Diese Unsicherheit schadet dem Ruf der Plattform stärker als der konkrete Verlust, denn Misstrauen bleibt bestehen.
Es gibt noch einen weiteren Aspekt: Polymarket positioniert sich als Plattform für Wetten auf reale Ereignisse mit realem Geld, wobei Sicherheit der Einlagen eine zentrale Rolle spielt. Ein Drain-Event, das kurz nach einer Vertrauensbekundung Nutzer direkt betrifft, untergräbt dieses Versprechen.
Polymarkets jüngste Sicherheits- und Regulierungsprobleme
Der Vorfall ist kein Einzelfall. Am 22. Mai 2026 wurde von On-Chain-Ermittlern ein weiterer Vorfall festgestellt: Zwischen 520.000 und 700.000 US-Dollar wurden aus internen Wallets für Preisauszahlungen auf Polygon entwendet – zurückzuführen auf einen sechs Jahre lang aktiven privaten Schlüssel. Nutzerguthaben waren damals nicht betroffen, dennoch zeigen zwei Vorfälle innerhalb kurzer Zeit ein Muster. Im Mai traf es Infrastruktur auf Mitarbeiterseite, im Juni die Nutzer – unterschiedliche Angriffspunkte, aber die gleiche Frage nach offenen Schwachstellen.
Die Sicherheitsprobleme traten zudem während erhöhter regulatorischer Aufmerksamkeit auf. Die Commodity Futures Trading Commission (CFTC) untersuchte Polymarkets Marketingpraktiken, insbesondere eine Kampagne mit bezahlten Social-Media-Creators, die Trades und Gewinne simulierten, teils ohne Kennzeichnung der Kompensation. Recherchen zufolge zeigten viele der über 1.100 Videos gefälschte Wetten. Senatoren forderten hierzu eine Stellungnahme der CFTC bis zum 10. Juli 2026.
Zeitstrahl im Überblick:
Datum | Ereignis | Betroffene |
22. Mai 2026 | Interne Payout-Wallets durch alten privaten Schlüssel kompromittiert | Interne Abläufe, keine Nutzer |
20. Juni 2026 | Berichte über irreführende Werbevideos | Reputations- & Regulierungsfolgen |
25. Juni 2026 | Frontend-Supply-Chain-Hack leert Nutzer-Wallets | Nutzer direkt |
26. Juni 2026 | Rückerstattungszusage für betroffene pUSD-Inhaber | Betroffene Nutzer |
Tage später | Verlustsumme auf 3,1 Millionen US-Dollar korrigiert | Betroffene Nutzer |
10. Juli 2026 | Angeforderte CFTC-Antwort zum Marketing-Probe | Plattform, Regulierer |
Was können betroffene Nutzer erwarten?
Für die elf geleerten Wallets gilt: Polymarket hat eine vollständige Rückerstattung des pUSD-Wertes zugesagt und die kompromittierte Drittanbieter-Software entfernt. Wer während des Angriffs keine verdächtige Transaktion signiert hat, war nicht betroffen. Der Angriff erforderte eine Autorisierung, sodass nicht signierte Wallets unangetastet blieben.
Die Wiederbeschaffung der gestohlenen Gelder wird gesondert verfolgt und ist meist langwieriger. Stand jetzt wurden die 1.893 ETH noch nicht bewegt, sodass Ermittler und Compliance-Teams der Spur on-chain folgen können. Bewegungen lassen sich etwa auf Etherscan nachvollziehen. Ob eine Sperrung oder Rückführung möglich ist, hängt davon ab, wie Angreifer weiter vorgehen.
Für alle anderen gilt: Jede Signaturanfrage sollte bewusst geprüft werden – nicht jede ist Routine. Lesen Sie genau, was Ihre Wallet freigeben möchte. Die betroffenen Nutzer handelten nicht nachlässig; vielmehr wurde das vertraute Interface kompromittiert – ein Risiko, das jede Plattform betreffen kann.
Lektionen für Custody und Sicherheit bei Prognosemärkten und DeFi
Die Smart Contracts selbst waren sicher. Viele Sicherheitsdiskussionen im Kryptobereich konzentrieren sich auf Contract-Audits und On-Chain-Exploits, aber ein wachsender Anteil der realen Verluste entsteht mittlerweile durch Schwachstellen in den angrenzenden Ebenen. Der Polymarket-Vorfall ist ein Musterbeispiel – ebenso wie jüngste DeFi-Hacks und Bridge-Exploits (DeFi-Hacks 2026). Hier war der relevante Link im Original ein englischer Blogbeitrag; im Deutschen steht aktuell kein entsprechender Academy-Artikel zur Verfügung: DeFi-Hacks 2026.
Wichtige Prinzipien:
- Risiko auf der Frontend-Ebene ist echtes Custody-Risiko. Ein vollständig geprüfter Smart Contract hilft nicht, wenn das Interface kompromittiert wird – die Signatur, nicht der Contract-Code, bewegt das Geld.
- Drittanbieter-Abhängigkeiten sind potenzielle Angriffsflächen. Ein unbekannter Vendor kann zum Einfallstor werden. Supply-Chain-Angriffe treffen das schwächste Glied.
- Hot Custody bedeutet Komfort zu Lasten der Sicherheit. Web-Wallets sind nur so sicher wie die unsicherste Systemkomponente.
- Sorgfalt bei Signaturen ist der letzte Schutz. Prüfen Sie Adresse, Token, Betrag. Angreifer setzen darauf, dass Nutzer Hinweise übersehen.
- Rückerstattungszusagen sind nicht mit Rückgewinnung gleichzusetzen. Rückerstattung behebt den Verlust, macht die Lücke aber nicht ungeschehen. Neue Vorfälle sind nicht ausgeschlossen.
Diese Punkte gelten für alle Plattformen mit Wallet-Konnektivität – nicht nur für Prognosemärkte. Die Art der Nutzung ändert nichts an den Risiken.
Häufig gestellte Fragen
Ist Polymarket sicher?
Die Smart Contracts wurden in diesem Vorfall nicht kompromittiert. Dennoch gab es zwei Sicherheitsvorfälle in kurzer Zeit – einen mit internen Wallets, einen mit Nutzern. Die kompromittierte Abhängigkeit wurde entfernt, Rückerstattung zugesagt. Dennoch empfiehlt sich eine sorgfältige Risikobewertung und Prüfung jeder Signaturanfrage.
Was ist bei Polymarket passiert?
Am 25. Juni 2026 kompromittierten Angreifer einen Drittanbieter, der Frontend-Code bereitstellte, und injizierten ein schädliches Skript. Dadurch wurden rund 3,1 Millionen US-Dollar in pUSD aus elf Wallets abgezogen und in 1.893 ETH auf das Ethereum-Mainnet transferiert.
Wird Polymarket Nutzer entschädigen?
Polymarket hat öffentlich die vollständige Rückerstattung für betroffene pUSD-Inhaber zugesagt und die technische Schwachstelle behoben. Die eigentliche Wiederherstellung der gestohlenen Werte hängt davon ab, ob die ETH eingefroren oder zurückgegeben werden kann.
Wie war ein Hack möglich, wenn die Contracts nicht manipuliert wurden?
Angriffsziel war das Website-Frontend, nicht die Blockchain. Über einen kompromittierten Drittanbieter gelangte ein bösartiges Skript auf die Seite und verleitete Nutzer zur Autorisierung von Transaktionen. Deshalb konnten selbst bei intakten Contracts Wallets geleert werden. Detaillierte Infos zu Prognosemärkten finden Sie im deutschen Academy-Artikel: Was sind Prediction Markets?
Fazit
Der Polymarket-Vorfall ist ein Beispiel für Frontend- und Supply-Chain-Risiken: Über 3,1 Millionen US-Dollar Verlust für Nutzer, mit der besonders problematischen Reihenfolge aus Rückerstattungszusage, Verlustkorrektur und paralleler regulatorischer Prüfung. Drei Punkte bleiben entscheidend: Bleibt es bei 3,1 Millionen Verlust? Wird die ETH bewegt? Kommt ein weiterer Vorfall dazu? Die Lehre gilt plattformübergreifend: Wer Wallets mit Web-Apps verbindet, muss vor allem den Website-Code und dessen Abhängigkeiten im Blick behalten. Reduzieren Sie im Zweifel die Bestände auf Plattformen mit Web-Interaktion und informieren Sie sich über Selbstverwahrung von Vermögenswerten wie Bitcoin.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichen Risiken verbunden. Führen Sie stets Ihre eigene Recherche durch, bevor Sie Handelsentscheidungen treffen.
