Finst

Polymarket-Hack summiert sich trotz zugesagter Rückerstattungen auf 3,1 Millionen Dollar

Der Angriff traf 11 Konten über eine Phishing-Kampagne und einen kompromittierten Zulieferer. Polymarket sagt, die Schwachstelle behoben zu haben und die PUSD-Erstattungen zu regeln.

Polymarket-Hack summiert sich trotz zugesagter Rückerstattungen auf 3,1 Millionen Dollar

Wichtigste Erkenntnisse

  • Polymarket wurde Ziel eines Hacks, bei dem schätzungsweise 3,1 Millionen Dollar in PUSD-Token von 11 Nutzerkonten entwendet wurden.
  • Der Angriff lief über eine Phishing-Kampagne und einen kompromittierten Zulieferer, der schädlichen Code in das Frontend der Plattform eingeschleust haben soll.
  • Polymarket gibt an, die Schwachstelle geschlossen zu haben, und stellt betroffenen Nutzern eine vollständige Rückerstattung in PUSD in Aussicht.

Polymarket, eine dezentrale Prediction-Markets-Plattform, ist zuletzt von einem größeren Sicherheitsvorfall betroffen gewesen. Dabei sollen schätzungsweise 3,1 Millionen Dollar in PUSD-Token von Nutzern abgezogen worden sein. Nach bisherigen Erkenntnissen setzten die Angreifer auf eine Phishing-Kampagne gegen 11 Konten und schleusten die gestohlenen Assets anschließend über Polygon zu Ethereum.

Details zum Angriff und Reaktion von Polymarket

Entdeckt wurde der Vorfall, nachdem ein externer Dienstleister von Polymarket kompromittiert worden war und für einzelne Nutzer ein bösartiges Skript in das Frontend der Plattform eingebracht hatte. Polymarket teilt mit, die betroffene Abhängigkeit inzwischen entfernt und die Schwachstelle damit behoben zu haben. Die betroffenen Nutzer seien bereits kontaktiert worden und sollen eine vollständige Rückerstattung in PUSD erhalten, dem nativen Token, der auf der Plattform für alle Transaktionen genutzt wird.

Blockchain-Sicherheitsfirma PeckShield meldete, dass die Angreifer im Rahmen der Phishing-Kampagne zunächst rund 1.893 ETH entwendet hätten, was fast 3 Millionen Dollar entspreche. Später wurde das Ausmaß des Schadens von AMLBot auf 3,1 Millionen Dollar korrigiert. Ein Betroffener schilderte den Vorfall zudem in den sozialen Medien und erklärte, sein Wallet sei gehackt worden, ohne dass er nachvollziehen könne, wie es dazu kommen konnte.

Jüngste Sicherheitsprobleme und Untersuchung

Für Polymarket ist es nicht der erste Sicherheitsvorfall. Bereits im März wurde über einen möglichen Angriff berichtet, bei dem mehr als 520.000 Dollar aus zwei Smart Contracts auf der Polygon-Blockchain abgezogen worden sein sollen. Damals erklärte Polymarket, die Gelder seien sicher. Schon im Dezember meldete die Plattform außerdem über ihren Discord-Kanal einen weiteren Sicherheitsvorfall, nachdem Nutzer über verschwundene Gelder und verdächtige Login-Versuche berichtet hatten. Diese Probleme wurden einem Drittanbieter zugeschrieben, der Login-Dienste bereitstellte.

Gleichzeitig steht Polymarket unter bundesweiter Beobachtung, nachdem Berichte über irreführende Marketingpraktiken in sozialen Medien aufkamen, bei denen Nutzer mit Gewinnen dargestellt worden sein sollen. Die Untersuchung folgt auf frühere Sanktionen und Einschränkungen, darunter eine Geldstrafe von 1,4 Millionen Dollar durch die US Commodity Futures Trading Commission (CFTC) im Jahr 2022 wegen des Angebots von binären Kontrakten ohne die erforderlichen Lizenzen.

Relevanz für europäische Krypto-Nutzer

Auch wenn Polymarket zuletzt über die Übernahme einer von der CFTC lizenzierten Börse wieder Zugang zum US-Markt erhalten hat, bleibt die Plattform international unter Druck. In mehreren Ländern, darunter Frankreich, Brasilien und Indien, ist Polymarket wegen möglicher Verstöße gegen Glücksspiel- und Wettgesetze verboten. Für europäische Krypto-Nutzer zeigt der Vorfall, wie wichtig ein vorsichtiger Umgang mit dezentralen Plattformen bleibt und welches Risiko Phishing-Angriffe bergen, gerade in einem Markt, in dem Regulierung und Sicherheitsstandards noch im Wandel sind. Das passt zu einem breiteren Muster, bei dem Angriffe häufig eher über menschliche und operative Schwachstellen als über Fehler im Code laufen, wie auch Krypto-Sicherheit mehr braucht als nur Audits, um Verluste zu verhindern zeigt.


Haftungsausschluss: Dieser Inhalt dient ausschließlich zu Informationszwecken und stellt keine finanzielle, anlagebezogene, rechtliche oder steuerliche Beratung dar. Die bereitgestellten Informationen können unvollständig, ungenau oder veraltet sein und sollten nicht als solche herangezogen werden. Nichts auf dieser Website sollte als Empfehlung zum Kauf, Verkauf oder Halten von Kryptowährungen angesehen werden. Investitionen in Krypto-Assets sind mit Verlustrisiken verbunden.