Die Prognosemarkt-Plattform Polymarket verlor 3,1 Millionen US-Dollar, nachdem Angreifer einen Drittanbieter für das Frontend kompromittiert und Gelder aus 11 Nutzer-Wallets abgezogen hatten.
Die eigenen, auditierten Smart Contracts der Plattform blieben während des gesamten Vorfalls intakt.
Laut einem Bericht wurden die gestohlenen PUSD-Token über eine Cross-Chain-Bridge von Polygon (POL) nach Ethereum (ETH) verschoben. Polymarket hat den kompromittierten Drittanbieter bislang nicht öffentlich benannt.
Wie der Angriff funktionierte
Frontend-Angriffe auf Drittanbieter zielen auf die Weboberfläche ab, die Nutzer mit den zugrunde liegenden Verträgen einer Plattform verbindet. Die Smart Contracts selbst halten und verwalten die Gelder, aber die Interaktion der Nutzer erfolgt über eine Browser-Schicht, die von externen Software-Anbietern entwickelt und betrieben wird.
In diesem Fall scheinen die Angreifer bösartigen Code in genau diese Interface-Ebene eingeschleust zu haben. Betroffene Nutzer, die während des Angriffszeitraums mit dem Polymarket-Frontend interagierten, hatten ihre Wallet-Genehmigungen umgeleitet. Elf Wallets verloren Gelder, bevor die Kompromittierung entdeckt wurde.
Dass die Smart Contracts Audits bestanden hatten, bietet nur begrenzten Schutz, wenn der Angriffsvektor oberhalb der Contract-Ebene ansetzt.
Regulatorische Untersuchung verschärft den Druck nach Sicherheitsvorfall
Polymarket steht bereits seit Längerem unter erhöhter regulatorischer Beobachtung, seit die Commodity Futures Trading Commission eine Untersuchung zum US-Nutzerzugang der Plattform eingeleitet hat. Die CFTC-Prüfung, die sich bis 2026 hinzieht, konzentriert sich darauf, ob die Prognosemärkte von Polymarket nicht registrierte Warenderivate darstellen, die amerikanischen Nutzern zur Verfügung stehen.
Die Plattform erlangte während des US-Wahlzyklus 2024 breite Aufmerksamkeit, als ihre Märkte häufig in Medienberichten zu den Chancen im Präsidentschaftsrennen zitiert wurden. Diese Sichtbarkeit brachte sowohl Nutzerwachstum als auch regulatorische Prüfung mit sich. Die Kombination aus einer laufenden CFTC-Untersuchung und einem prominenten Sicherheitsvorfall erzeugt einen doppelten Reputationsdruck für die Betreiber der Plattform.
Die Sicherheit von Prognosemärkten ist ein wiederkehrendes Thema im Sektor. Frontend-Angriffe sind besonders schwer zu verhindern, da sie darauf beruhen, Drittanbieter in der Lieferkette zu kompromittieren, statt das Kernprotokoll selbst. Mehrere DeFi-Plattformen haben in den vergangenen zwei Jahren ähnliche Supply-Chain-artige Kompromittierungen erlitten.
Auch lesenswert: Micron wird nach Rallye von 236 % zur nächsten KI-Obsession an der Wall Street
Wie es weitergeht
Polymarket hat bislang nicht bestätigt, ob betroffene Nutzer entschädigt werden. Die Plattform hat zudem die Identität des kompromittierten Drittanbieters nicht offengelegt, was externe Sicherheitsanalysen der Angriffskette erschwert.
Die CFTC-Untersuchung fügt eine weitere Komplexitätsebene hinzu. Jede öffentliche Stellungnahme zu dem Hack könnte mit laufenden regulatorischen Verfahren kollidieren. Die Verlagerung der gestohlenen Gelder über eine Bridge nach Ethereum macht zwar grundsätzlich ein On-Chain-Tracking möglich, doch Rückholungen bei Frontend-Dienstleister-Exploits sind ohne Beteiligung der Strafverfolgungsbehörden selten.
Als Nächstes lesen: HIVE leiht sich gerade 115 Mio. $ zum Nullzins, um gegen Bitcoin-Mining zu wetten