Blockchain-Ermittler ZachXBT wies am Mittwoch auf eine mutmaßliche Sicherheitslücke bei Polymarket hin, nachdem mehr als 520.000 $ aus zwei von Polymarket kontrollierten Smart Contracts auf der Polygon-Blockchain abgezogen worden waren. Die Gelder wurden laut On-Chain-Daten, die ZachXBT veröffentlichte, innerhalb weniger Stunden an eine einzelne Angreifer-Adresse weitergeleitet.
Polymarket-Entwickler reagierten auf X und erklärten, der Vorfall sei auf die Kompromittierung eines privaten Schlüssels zurückzuführen, der mit einem internen Operations-Wallet im Belohnungs-Auszahlungssystem der Plattform verbunden sei. Das Team betonte, dass Nutzergelder und Marktauflösungen nicht betroffen seien, und ordnete das Ereignis als operatives Sicherheitsversagen ein, nicht als Smart-Contract-Exploit oder Kern-Infrastruktur-Bruch. Das Unternehmen hat bisher noch keine Erklärung über sein Hauptkonto veröffentlicht.
Warum es relevant ist
Der Angriffsvektor ist ebenso bedeutsam wie die Dollar-Summe. Eine Kompromittierung eines privaten Schlüssels auf einem Operations-Wallet ist kategorisch etwas anderes als ein Smart-Contract-Bug – sie bedeutet, dass die On-Chain-Logik des Protokolls standhielt, ein von Menschen verwalteter Signatur-Schlüssel jedoch nicht. Genau diese Unterscheidung erklärt, warum Polymarkets Kommunikation auf die Sicherheit der Nutzergelder abzielt, und warum forensische Ermittler den Vorfall als gezielte Intrusion behandeln werden und nicht als systemischen Fehler.
Der Vorfall fällt zudem in eine Phase erhöhter Aufmerksamkeit für DeFi-Plattformen, in der sich das operative Schlüsselmanagement immer wieder als schwächstes Glied in ansonsten auditierten Codebasen erwiesen hat. Mehrere Exploits im Millionenbereich im vergangenen Jahr ließen sich auf kompromittierte Signatur-Schlüssel zurückführen und nicht auf die Protokoll-Logik – ein Muster, das ZachXBT ausführlich dokumentiert hat.
Marktauswirkungen
Die direkten Marktauswirkungen sind begrenzt. Polymarket ist eine Prognoseplattform und kein Liquiditätsprotokoll, daher handelt es sich bei den abgezogenen Mitteln nicht um Nutzereinlagen unter Verwahrung. Der messbarere Sekundäreffekt ist reputationaler Natur: Die Glaubwürdigkeit von Prognosemärkten hängt von der Integrität der Auflösungen ab, und jede Erzählung – auch eine korrigierte – über kompromittierte Wallets kann das institutionelle Onboarding verlangsamen und den POL-Handel im weiteren Polygon-DeFi-Ökosystem belasten.
Häufig gestellte Fragen
-
War der Polymarket-Exploit ein Smart-Contract-Bug?
Nein. Polymarket-Entwickler erklärten, der Vorfall sei auf die Kompromittierung eines privaten Schlüssels auf einem internen Operations-Wallet im Belohnungs-Auszahlungssystem zurückzuführen, nicht auf einen Fehler in den Smart Contracts oder der zentralen Markt-Infrastruktur des Protokolls.
-
Wie viel wurde beim Polymarket-Breach auf Polygon gestohlen?
Mehr als 520.000 $ wurden aus zwei von Polymarket kontrollierten Smart Contracts auf Polygon abgezogen, laut On-Chain-Daten, die der Ermittler ZachXBT veröffentlichte. Die Gelder wurden an eine einzelne Angreifer-Adresse weitergeleitet.
-
Sind Nutzergelder auf Polymarket nach dem Exploit sicher?
Polymarket-Entwickler erklärten, Nutzergelder und Marktauflösungen seien nicht betroffen, da das kompromittierte Wallet mit dem internen Belohnungs-Auszahlungssystem verbunden war und nicht mit Nutzereinlagen oder der Markt-Verwahrung.
-
Wer hat die Sicherheitslücke bei Polymarket gemeldet?
Blockchain-Ermittler ZachXBT wies öffentlich auf den mutmaßlichen Vorfall hin und veröffentlichte die beiden betroffenen Polymarket-kontrollierten Adressen sowie die Angreifer-Adresse auf der Polygon-Blockchain.
-
Hat Polymarket eine offizielle Erklärung zum Exploit abgegeben?
Polymarket-Entwickler reagierten über X, das Unternehmen hatte zum Zeitpunkt der Berichterstattung jedoch noch keine offizielle Erklärung über sein Hauptkonto veröffentlicht. Weitere Updates vom Team werden erwartet.