Am 22. Mai meldete der On-Chain-Ermittler ZachXBT einen mutmaßlichen Private-Key-Diebstahl, bei dem etwa 600.000 US-Dollar von einer mit Polymarket verbundenen Adresse auf Polygon abgezogen wurden. Der Angreifer überwies rund alle 20–30 Sekunden 5.000 POL, bis die Schlüssel erneuert wurden. Josh Stevens, VP Engineering bei Polymarket, bestätigte später, dass es sich um einen sechs Jahre alten Private Key eines internen Top-up-Wallets handelte – nicht um die Smart Contracts der Plattform oder Kundenvermögen. Diese Unterscheidung ist bedeutsam, da die Art des Abflusses direkten Einfluss darauf hat, wer betroffen ist. Aktuell liegt der Fokus der Bedrohung auf individuellen Nutzern, nicht auf Protokoll-Teams.
Dies ist kein Exploit des Polymarket-Protokolls. Es handelt sich um eine Kompromittierung auf Kontoebene, wie es bei jeder Self-Custody-Adresse auf Polygon möglich wäre. Genau diese Parallele macht den Vorfall so relevant.
Was ZachXBT entdeckt hat und was On-Chain-Daten zeigen
ZachXBT veröffentlichte seine erste öffentliche Warnung am 22. Mai und verwies auf den UMA CTF Adapter Contract auf Polygon, den Polymarket mit UMAs Optimistic Oracle zur Marktabrechnung nutzt. Anfangs lag der geschätzte Verlust bei etwa 520.000 US-Dollar in POL und USDC.e, wenige Stunden später erhöhte sich der Betrag auf über 600.000 US-Dollar, da automatisierte Abhebungen die Adresse alle 20–30 Sekunden leerten.
Das mechanische Muster weist darauf hin: Menschliche Angreifer transferieren keine identischen Beträge in solch kurzen Intervallen über Stunden hinweg. Skripte tun dies. Eine derart gleichmäßige Abhebung signalisiert, dass der Angreifer bereits Signaturberechtigungen besaß und Guthaben lediglich abgegriffen hat – ein Zeichen für einen Private-Key-Leak, nicht für einen Fehler in der Vertragslogik.
Polymarkets Technikteam teilte kurz nach der Warnung mit, dass die Verträge nicht betroffen und nur ein internes Wallet für operative Zwecke kompromittiert war. CoinDesk bestätigte, dass Nutzervermögen nicht betroffen sind. CryptoSlate ergänzte, dass der geleakte Schlüssel etwa sechs Jahre alt und damit älter als die heutige Sicherheitsarchitektur von Polymarket ist.
ZachXBT ist ein unabhängiger On-Chain-Ermittler, kein Polymarket-Mitarbeiter oder Strafverfolger. Seine Rolle besteht darin, Transaktionsmuster in Echtzeit zu analysieren und auffällige Aktivitäten zu melden, bevor eine betroffene Plattform Stellung nimmt. Diese Schnelligkeit hat Wert, weshalb solche Vorfälle oft als „mutmaßlich“ eingestuft werden, bis die Ursache offiziell bestätigt wird – wie hier rund fünf Stunden nach dem ersten Hinweis.
Wie funktioniert Custody bei Polymarket?
Viele Nutzer sehen Polymarket als zentralisierten Prognosemarkt mit Börsenkonto. Tatsächlich ist es eher ein DEX mit nutzerfreundlicher Oberfläche.
Jeder Polymarket-Nutzer besitzt ein selbstverwaltetes Externally Owned Account (EOA) auf Polygon – vergleichbar mit einem MetaMask-Wallet. Einzahlungen transferieren USDC.e von einer Ethereum- oder Polygon-Adresse in dieses EOA. Wetten werden als signierte Transaktionen an den UMA CTF Adapter Contract gesendet; Auszahlungen erfolgen durch signierte Transaktionen zurück. Die Polymarket-Frontend übernimmt den Signaturprozess, aber der zugrunde liegende Account und der Private Key gehören dem Nutzer.
Das macht den Vorfall vom 22. Mai strukturell vergleichbar mit vielen kleineren Abflüssen auf Polygon. Das interne Top-up-Wallet von Polymarket war ein EOA, das operative POL und USDC.e hielt. Nach dem Leak hatte der Angreifer die gleichen Rechte wie Polymarket selbst. Ein Contract-Exploit war nicht nötig, da der Vertrag ordnungsgemäß signierte Transaktionen ausführte.
Wichtig für Nutzer: Hochvolumige Polymarket-Positionen werden ebenfalls in solchen Accounts mit eben diesen Keys verwaltet. Wenn ein sechs Jahre alter operativer Schlüssel innerhalb der Organisation geleakt werden kann, sollte jeder seine eigene Key-Hygiene kritisch prüfen.
Auswirkungen für Polymarket-Nutzer mit größeren Positionen
Die größten Polymarket-Accounts sind öffentlich nachvollziehbar. Adressen mit sieben- oder achtstelligen Positionen zu den US-Wahlen 2024 wurden publik, und einige dieser Adressen enthalten immer noch erhebliche Guthaben. Mit Basis-Chain-Analyse lässt sich eine Liste wertvoller EOAs schnell erstellen – Angreifer haben dieselben Möglichkeiten.
Das Angriffsmuster seit 2025 ist konsistent: Phishing-Kits imitieren Polymarket-Mails und die Benutzeroberfläche, gefälschte Browser-Extensions fangen Signaturanfragen ab und „Credential Stuffing“ gegen E-Mail-Adressen des eingebetteten Wallets erzeugt kontinuierlich Opfer. Ein Abfluss besteht meist aus einer Transaktion – eine Signatur und die Assets sind weg, bevor der Nutzer es bemerkt.
| Account-Typ | Custody-Modell | Reales Risiko |
| Polymarket-Position mit eingebettetem Wallet | Self-Custody-EOA, Schlüssel durch App verwaltet | Phishing, bösartige Browser-Extension, Gerätekompromittierung |
| Polymarket-Position via externem Wallet (MetaMask) | Self-Custody-EOA, Schlüssel durch Nutzer verwaltet | Seed-Phrase-Leak, Missbrauch von Signaturrechten, gefälschte dApp-Prompts |
| Internes operatives Polymarket-Wallet | Von der Organisation verwaltetes EOA | Veralteter Schlüssel, interner Zugriff, Infrastruktur-Leck (der Fall vom 22. Mai) |
Fazit: Wer Zugriff auf Ihren Polygon Private Key erlangt, erhält Zugriff auf Ihre Polymarket-Position, Ihr USDC.e-Guthaben und alle weiteren Token in dieser Adresse. Es gibt keinen Polymarket-Support, der eine signierte Transaktion rückgängig macht, und keine Einlagensicherung wie bei Banken. Die Smart Contracts funktionierten am 22. Mai ordnungsgemäß – das bedeutet auch, dass die Plattform gegen Angriffe auf Nutzerkonten keine technische Handhabe hat.
Was Sie jetzt bei Ihrem Polymarket-Konto prüfen sollten
Drei Kontrollen sind unabhängig von der Positionsgröße empfehlenswert:
Stellen Sie sicher, dass die E-Mail zum eingebetteten Wallet ein eindeutiges Passwort und 2FA nutzt. Ein wiederverwendetes, kompromittiertes Passwort ist der häufigste Schwachpunkt bei Polygon-EOAs. Nutzen Sie die vollständige Sicherheits-Checkliste, bevor Sie fortfahren.
Überprüfen Sie die Token-Freigaben Ihrer Polymarket-Adresse. Sehen Sie im Polygon-Explorer nach, für welche Verträge Sie Freigaben erteilt haben, und widerrufen Sie Zugriffsrechte, die Sie nicht eindeutig zuordnen können. Alte Freigaben bergen Angriffsrisiken.
Verschieben Sie hohe Beträge auf ein Hardware Wallet . Polymarket kann über ein externes Wallet verwendet werden. Die Bedienung ist aufwendiger, doch ein Hardware Wallet verlangt physische Bestätigung jeder Signatur – damit ist die Form des Remote-Key-Diebstahls wie im aktuellen Fall ausgeschlossen.
Für größere Guthaben gilt: Das eingebettete Wallet sollte wie ein Hot Wallet betrachtet werden. Größere Beträge sollten über ein Hardware Wallet verwaltet werden. Diese Trennung ist Standard bei Self-Custody im Handel und DeFi – Prognosemarkt-Positionen sollten nicht weniger sicher gehalten werden.
Häufige Fragen
War der Vorfall bei Polymarket am 22. Mai ein Smart-Contract-Hack?
Nein, und diese Unterscheidung ist wichtig für die Risikoeinschätzung. Polymarket und ZachXBT bestätigten, dass der UMA CTF Adapter Contract wie vorgesehen funktionierte und der Fehler bei einem privaten Schlüssel eines internen Wallets lag.
Sind Polymarket-Nutzervermögen aktuell gefährdet?
Die Kundengelder in persönlichen Polymarket-Konten waren vom Vorfall am 22. Mai nicht betroffen. Das kompromittierte Wallet war eine interne Adresse. Jeder Nutzer ist selbst für die Sicherung seines eigenen Private Keys verantwortlich.
Wie gelangen Angreifer typischerweise an Polymarket-Guthaben?
Die häufigsten Vektoren sind Phishing-Seiten, die den Polymarket-Login nachahmen, bösartige Browser-Extensions und Seed-Phrase-Leaks – etwa durch Screenshots, Cloud-Backups oder kompromittierte Passwortmanager. Exploits auf Vertragsebene sind selten, da die Verträge keine benutzerspezifischen Rechte verwalten.
Ist der Verlust von 600.000 US-Dollar endgültig?
Polymarket hat die kompromittierten Schlüssel innerhalb von Stunden erneuert. Die Rückholung der gestohlenen POL und USDC.e ist unwahrscheinlich, solange keine Strafverfolgungsmaßnahmen gegen den Wallet-Inhaber erfolgen. Auf On-Chain-Adressen übertragene Vermögenswerte können von der Plattform nicht zurückgeholt werden.
Fazit
Der Vorfall bei Polymarket zeigt, dass der Private Key das schwächste Glied jeder Polygon-Position darstellt – nicht das Protokoll. ZachXBT entdeckte einen Abfluss von 600.000 US-Dollar aus einer internen Wallet, Polymarket bestätigte einen sechs Jahre alten operativen Schlüssel als Ursache, und der Angreifer konnte Gelder abziehen, da die Verträge signierte Transaktionen regelkonform ausführten. Dieses Bedrohungsszenario gilt für jedes Nutzerkonto. Daher ist jetzt der richtige Zeitpunkt, unklare Freigaben zu widerrufen, Wiederverwendungen von Anmeldedaten beim Wallet zu vermeiden und größere Beträge an Hardware Wallets zu binden. Polymarket hat den geleakten Schlüssel in weniger als fünf Stunden ausgetauscht – die Verantwortung für sichere Schlüsselverwaltung liegt beim Nutzer.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichem Risiko verbunden. Führen Sie stets eigene Recherchen durch, bevor Sie Handelsentscheidungen treffen.
