Polymarket teilte mit, dass es alle Nutzer vollständig entschädigen werde, nachdem ein kompromittiertes Skript eines Dienstleisters rund 3 Millionen US-Dollar von weniger als 15 Konten abgezogen hatte.
Wichtige Punkte:
- Polymarket erklärte, ein kompromittierter Drittanbieter habe bösartigen Code in sein Frontend eingeschleust.
- Sicherheitsforscher verfolgten Verluste von rund 3 Millionen US-Dollar über weniger als 15 betroffene Konten.
- Der Vorfall folgt auf einen separaten Admin-Wallet-Zwischenfall, der keine Nutzervermögen betraf.
Polymarket-Hack
Polymarket hat am Freitag bestätigt, dass Angreifer einen kompromittierten Drittanbieter nutzten, um bösartigen Code in sein Frontend einzuschleusen und einige Nutzer einem Wallet-Drain-Angriff auszusetzen.
Der Vorfall wurde zuerst vom On-Chain-Sicherheitsforscher Specter gemeldet, der erklärte, eine offenbar Phishing-basierte Kampagne habe Gelder aus mehr als 11 Wallets mit PUSD (PUSD), dem Stablecoin von Polymarket, abgezogen.
Specter schätzte die Verluste auf 2,94 Millionen US-Dollar, während PeckShield später eine ähnliche Summe bestätigte und mitteilte, der Angreifer habe Gelder von Polygon (POL) zu Ethereum (ETH) „gebridged“ und anschließend in 1.893 ETH umgewandelt.
Die Plattform bestätigte den Vorfall über ihren X-Account Polymarket Traders und erklärte, die betroffene Abhängigkeit sei entfernt worden und betroffene Nutzer würden direkt kontaktiert.
„Heute Morgen haben wir entdeckt, dass ein Drittanbieter kompromittiert wurde und für einige Nutzer ein bösartiges Skript in unser Frontend injiziert hat. Wir haben das Problem eingedämmt und die betroffene Abhängigkeit entfernt“, hieß es. „Wir kontaktieren betroffene Nutzer und erstatten ihnen den vollen Betrag.“
Auch lesen: Anthropic-Mitgründer sagt, dass der erste echte KI-Jobschock gerade Absolventen trifft
Sicherheitliche Folgen
William LeGate, der eng mit der Plattform zusammenarbeitet, bekräftigte, dass das Problem behoben sei und betonte, dass betroffene Nutzer vollständig entschädigt würden.
GoPlus Security bezeichnete den Vorfall als Supply-Chain-Angriff und erklärte, etwa 15 Konten seien betroffen und die Verluste summierten sich auf 3 Millionen US-Dollar.
Bubblemaps kam zu demselben grundlegenden Schluss und lobte Polymarkets Reaktion, nachdem die Gelder abgezogen und der Exploit eingedämmt worden waren.
Die jüngste Sicherheitslücke erhöht den Druck, da sie auf einen weiteren Vorfall im vergangenen Monat folgt, bei dem ein Admin-Wallet, das für Mitarbeiterprämien genutzt wurde, etwa 700.000 US-Dollar verlor – vermutlich durch eine kompromittierte Private Key.
Krypto-Ermittler ZachXBT schätzte diesen früheren Verlust zunächst auf etwa 520.000 US-Dollar, bevor Bubblemaps später die höhere Summe nannte, nachdem die Gelder über mehrere Adressen nachverfolgt worden waren.
Entwickler Josh Stevens erklärte, ein sechs Jahre alter Private Key sei durch interne Konfiguration offengelegt worden, woraufhin das Unternehmen Zugangsdaten austauschte und auf Key-Management-Services umstellte.
Beide Vorfälle betrafen Systeme rund um die Prognosemärkte und nicht die Märkte selbst, ereigneten sich aber in einer schwierigen Phase für das Unternehmen. Das Wall Street Journal berichtete kürzlich, dass Polymarket studentische Creator im College-Alter mit 2.000 bis 3.000 US-Dollar pro Monat dafür bezahlte, gestellte Wettvideos zu posten. Zudem behauptete ein weiterer Trader in diesem Monat, Regeländerungen im Zusammenhang mit einem Strategy-Bitcoin-Verkaufsmarkt hätten ihn 500.000 US-Dollar gekostet.
Als Nächstes lesen: Nordkoreas BlueNoroff-Hacker nutzten KI-generierte Fake-Zoom-Calls, um 100 Krypto-Führungskräfte zu kompromittieren





