Polymarket ist erneut Ziel eines Krypto-Angriffs geworden. Durch eine kompromittierte Drittanbieter-Abhängigkeit gelang es Angreifern, ein schädliches Skript in das Frontend der Prediction-Market-Plattform einzuschleusen. Mehrere Nutzer waren betroffen, der geschätzte Schaden liegt bei rund 2,94 Millionen Dollar.
Polymarket teilte mit, der Vorfall sei eingedämmt und die betroffene Abhängigkeit entfernt worden. Zudem sollen betroffene Nutzer vollständig entschädigt werden. Damit versucht die Plattform, Vertrauen zurückzugewinnen, nachdem der Angriff erneut Fragen zur Sicherheit von Web3-Frontends aufwirft.
Angreifer nutzten kompromittierten Drittanbieter
Der Angriff wurde am Donnerstag entdeckt. Nach bisherigen Informationen lag das Problem nicht direkt in den Smart Contracts von Polymarket, sondern in einer kompromittierten externen Komponente, die im Frontend der Plattform eingebunden war.
Über diese Schwachstelle konnten Angreifer ein schädliches Skript ausliefern. Solche Angriffe sind besonders gefährlich, weil Nutzer dabei eine scheinbar legitime Webseite besuchen, im Hintergrund jedoch manipulierte Transaktionen oder Phishing-Mechanismen ausgelöst werden können.
Blockchain-Analyst Specter erklärte, das Skript habe offenbar einen Phishing-Angriff ermöglicht. Dabei seien mindestens elf Nutzer-Wallets betroffen gewesen. Der geschätzte Verlust beläuft sich auf rund 2,94 Millionen Dollar.
| Kennzahl | Angabe |
|---|---|
| Geschätzter Schaden | ca. 2,94 Mio. Dollar |
| Betroffene Wallets | mindestens 11 |
| Angriffsart | kompromittierte Frontend-Abhängigkeit |
| Reaktion von Polymarket | Dependency entfernt, Erstattung angekündigt |
Nutzer sollen vollständig entschädigt werden
Polymarket erklärte auf X, dass der Angriff unter Kontrolle gebracht worden sei. Die kompromittierte Abhängigkeit wurde entfernt. Gleichzeitig kündigte die Plattform an, betroffene Nutzer vollständig zu erstatten.
Diese Zusage ist für Polymarket wichtig. Prediction Markets stehen ohnehin unter besonderer Beobachtung, weil sie stark wachsen und viele neue Nutzer anziehen. Ein Frontend-Angriff kann das Vertrauen in eine Plattform schnell beschädigen, selbst wenn die zugrunde liegenden Smart Contracts nicht direkt betroffen sind.
Für Nutzer bleibt der Fall dennoch eine Warnung. Auch wenn ein Protokoll technisch intakt bleibt, können Angriffe über Webseiten, externe Bibliotheken oder kompromittierte Dienstleister erhebliche Schäden verursachen.
Zweiter Sicherheitsvorfall innerhalb kurzer Zeit
Der neue Angriff kommt nur rund einen Monat nach einem früheren Polymarket-Vorfall. Damals meldete die Plattform einen Exploit im Umfang von etwa 600.000 Dollar, der auf einen sechs Jahre alten privaten Schlüssel zurückgeführt wurde.
Laut Polymarket waren bei diesem früheren Vorfall die Plattformverträge und Nutzergelder nicht gefährdet. Die betroffenen Berechtigungen seien danach widerrufen worden.
Der aktuelle Fall ist dennoch brisant, weil er ein anderes Risiko zeigt. Nicht nur private Schlüssel oder Smart Contracts sind mögliche Schwachstellen. Auch Frontends und Drittanbieter-Abhängigkeiten können zum Einfallstor für Angreifer werden.
Juni bringt bereits hohe Krypto-Verluste
Der Polymarket-Angriff reiht sich in eine ohnehin angespannte Sicherheitslage im Kryptosektor ein. Im Juni summierten sich die gemeldeten Exploit-Verluste auf rund 74,9 Millionen Dollar über 29 Vorfälle.
Damit lagen die Schäden höher als im Mai, als rund 60,5 Millionen Dollar verzeichnet wurden. Sie blieben jedoch deutlich unter dem April-Wert von 644 Millionen Dollar.
| Monat | Gemeldete Exploit-Verluste |
| April | ca. 644 Mio. Dollar |
| Mai | ca. 60,5 Mio. Dollar |
| Juni | ca. 74,9 Mio. Dollar |
Zu den größten Juni-Vorfällen gehörten ein 36-Millionen-Dollar-Exploit bei Humanity Protocol, ein 4,7-Millionen-Dollar-Angriff auf die Secret-Network-Bridge sowie mehrere weitere Bridge- und Protokollvorfälle.
Private Keys bleiben größtes Risiko
Laut DefiLlama-Daten waren private Schlüssel in den vergangenen 30 Tagen für 43 Prozent der gemeldeten Exploit-Verluste verantwortlich. Damit bleiben Key-Kompromittierungen der wichtigste Angriffsvektor im Kryptosektor.
Danach folgten Fake-Proof-Exploits mit rund 10 Prozent und sogenannte Reverse-MEV-Honeypots mit etwa 8 Prozent. Letztere locken automatisierte Trading-Bots mit scheinbar profitablen Gelegenheiten an, um sie anschließend zu manipulieren.
| Angriffsvektor | Anteil an gemeldeten Verlusten |
| Private-Key-Kompromittierungen | 43 % |
| Fake-Proof-Exploits | 10 % |
| Reverse-MEV-Honeypots | 8 % |
Der Polymarket-Fall passt zwar nicht direkt in die Kategorie privater Schlüssel, zeigt aber, dass Angriffe auf die Nutzeroberfläche ebenfalls erhebliche Schäden verursachen können.
Frontend-Sicherheit wird zum kritischen Faktor
Der Vorfall macht deutlich, dass Web3-Sicherheit nicht nur auf Smart Contracts beschränkt werden darf. Viele Nutzer verbinden ihre Wallets direkt mit Plattformen und verlassen sich darauf, dass die angezeigte Oberfläche vertrauenswürdig ist.
Wird das Frontend manipuliert, können Nutzer trotz eigentlich sicherer Protokollarchitektur gefährdet sein. Besonders kritisch sind Drittanbieter-Abhängigkeiten, externe Skripte und Softwarepakete, die in Webanwendungen eingebunden werden.
Für Plattformen bedeutet das, dass Sicherheitsprüfungen breiter angelegt werden müssen. Neben Contract-Audits braucht es auch Monitoring für Lieferketten, Abhängigkeiten, Frontend-Code und verdächtige Transaktionsaufforderungen.
Polymarket muss Vertrauen sichern
Die angekündigte vollständige Erstattung dürfte kurzfristig helfen, den Schaden für betroffene Nutzer zu begrenzen. Langfristig wird Polymarket jedoch zeigen müssen, dass die Sicherheitsprozesse nachgeschärft werden.
Prediction Markets ziehen immer mehr Nutzer an, darunter auch viele, die erstmals mit Krypto-Anwendungen in Kontakt kommen. Gerade diese Zielgruppe ist besonders anfällig für Phishing, manipulierte Signaturen und unklare Wallet-Abfragen.
Der Angriff auf Polymarket zeigt deshalb nicht nur ein einzelnes Plattformproblem. Er steht für eine größere Herausforderung im Kryptomarkt: Je mehr Anwendungen Mainstream-Nutzer erreichen, desto wichtiger wird eine Sicherheitsarchitektur, die nicht nur technisch versierte Nutzer schützt.
Krypto-Sektor bleibt unter Sicherheitsdruck
Der 2,9-Millionen-Dollar-Angriff auf Polymarket ist ein weiterer Hinweis darauf, wie aktiv Angreifer im Kryptosektor bleiben. Selbst etablierte Plattformen können durch externe Abhängigkeiten und Frontend-Manipulationen getroffen werden.
Polymarket hat den Vorfall nach eigenen Angaben eingedämmt und will die betroffenen Nutzer vollständig entschädigen. Dennoch bleibt der Fall ein Warnsignal für die gesamte Branche.
Smart Contracts allein reichen nicht aus. Wer Nutzer wirklich schützen will, muss die gesamte technische Lieferkette absichern – vom Backend über das Frontend bis zur letzten externen Abhängigkeit.
