Front-load the primary keyword/ticker (PUSD)

Hacker haben laut dem Samstags-Update von Blockchain-Intelligence-Firma AMLBot auf X im Zuge eines Phishing-Angriffs rund 3,1 Millionen Dollar in Polymarkets PUSD-Token aus 11 Nutzer-Wallets abgezogen und die erbeuteten Mittel von Polygon auf Ethereum gebridget. Erste Schätzungen von PeckShield und Specter Analyst hatten die Verluste bei rund 2,94 Millionen Dollar und etwa 1.893 ETH verortet; AMLBots korrigierte Zahl gilt nun als Arbeitsgrundlage für den Vorfall.

Polymarket erklärte, ein kompromittierter Drittanbieter habe ein schädliches Skript in das Frontend eingeschleust, und sagte vollständige Rückerstattungen an betroffene PUSD-Inhaber zu. Die Plattform erklärte, die Lücke eingedämmt und die betroffene Abhängigkeit entfernt zu haben, lehnte jedoch eine weitergehende Stellungnahme ab, als CoinDesk sie am Samstag erreichte.

Warum es zählt

Es ist Polymarkets dritter gemeldeter Sicherheitsvorfall innerhalb von vier Monaten. Im März meldete der On-Chain-Ermittler ZachXBT mehr als 520.000 Dollar, die aus zwei Polygon-Smart-Contracts abgezogen wurden; die Plattment erklärte damals, die Mittel seien sicher. Im Dezember berichteten Nutzer über fehlende Guthaben und verdächtige Logins auf dem Discord-Kanal, wofür das Unternehmen einen nicht namentlich genannten Drittanbieter-Login-Dienst verantwortlich machte. Das wiederkehrende Fehlerbild ist in jedem Fall eine Drittanbieter-Integration und nicht Polymarkets eigene Contracts, ein strukturelles Risiko, das die Plattform bisher nicht beseitigt hat.

Der Angriff fällt zudem in eine Zeit, in der Polymarket offenbar unter bundesstaatlicher Beobachtung steht. Das Wall Street Journal berichtete über Ermittlungen wegen mutmaßlich irreführender Social-Media-Werbung, in der Nutzer Gewinne anpriesen, was zur Sicherheitsfront noch eine regulatorische Front hinzufügt.

Marktauswirkungen

Die Rückerstattungszusage mildert den unmittelbaren Schaden für PUSD-Privatinhaber, ändert aber nichts am Muster: Jede jüngste Lücke ging auf einen externen Anbieter oder Login-Dienst zurück, nicht auf Polymarkets Smart Contracts. Für einen Markt, dessen Kernversprechen vertrauenswürdige Preisermittlung bei realen Ereignissen ist, sind wiederholte vertrauensseitige Ausfälle an derselben Anbietergrenze die schwerer zu überwindende Erzählung. Der nächste Test ist, ob Polymarket sein Frontend vollständig von Drittanbieter-Abhängigkeiten isolieren kann, oder ob die nächste Lücke an derselben Nahtstelle schlägt.