Am 25. Juni 2026 bestätigte Polymarket, die weltweit größte Prediction-Market-Plattform, einen Cyberangriff. Laut On-Chain-Analysen von PeckShield und Bubblemaps wurden rund 3 Millionen Dollar von weniger als 15 Wallets entwendet. Das Entscheidende dabei: Die Smart Contracts blieben unangetastet. Was versagte, war die Website.
Was bei Polymarket passiert ist
Am Morgen des 25. Juni wurde ein externer Dienstleister von Polymarket kompromittiert. Über diese Sicherheitslücke injizierten die Angreifer ein bösartiges Skript in das Frontend der Plattform, das an bestimmte Nutzer ausgeliefert wurde, die mit der Website interagierten.
Die gestohlenen Gelder lagen in pUSD, der durch USDC besicherten Stablecoin von Polymarket. Laut PeckShield und Bubblemaps wurden diese anschließend von Polygon nach Ethereum transferiert und in rund 1.893 ETH umgetauscht, ein klassisches Vorgehen zur Verschleierung von Transaktionsspuren.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
, Polymarket Traders (@PolymarketTrade) June 25, 2026
Polymarket erklärte, den Vorfall eingedämmt, die betroffene Abhängigkeit entfernt und eine vollständige Rückerstattung für alle geschädigten Nutzer eingeleitet zu haben.
Warum es kein Blockchain-Angriff war
Dieser Punkt wird in der Berichterstattung häufig übergangen, dabei ist er zentral. Der Angriff nutzte keine Schwachstelle in den Smart Contracts von Polymarket aus. Das Protokoll auf der Blockchain funktionierte einwandfrei.
Es handelte sich um einen Supply-Chain-Angriff: Statt den On-Chain-Code direkt anzugreifen, zielten die Täter auf ein schwaches externes Glied in der Kette, nämlich den Drittanbieter, der Code für die Website liefert. Eine dezentrale Anwendung besteht aus zwei Schichten: den unveränderlichen Smart Contracts auf der Blockchain und der Web-Oberfläche, über die man mit diesen interagiert. Erstere war gesichert. Letztere nicht.
Das ist das Sicherheitsparadox von Web3. Man kann einen bombensicheren Tresor haben, doch wenn jemand den Eingang zum Gebäude manipuliert, gelangen die Gelder trotzdem nach draußen.
Wie die Gelder gestohlen wurden
Das injizierte Skript wirkte wie ein stiller Phishing-Angriff. Nutzer, denen die kompromittierte Version der Website angezeigt wurde, sahen manipulierte Transaktionsanfragen. Wer diese bestätigte, autorisierte faktisch die Übertragung seiner pUSD an die Adresse des Angreifers.
Alles lief transparent auf der Blockchain ab. Genau deshalb konnten On-Chain-Ermittler den Weg in wenigen Stunden nachvollziehen: Analyst Specter meldete zuerst die verdächtigen Bewegungen, gefolgt von Bubblemaps und PeckShield. Mit einem Blockchain-Explorer konnte jedermann verfolgen, wie die Gelder in einem einzigen Wallet zusammenflossen.
We've resolved the issue & are refunding affected users in full: https://t.co/xaYD7666EG
, LeGate (@williamlegate) June 25, 2026
Kein Einzelfall: Das Muster bei Polymarket
Das Problem: Es ist kein isolierter Vorfall. Es handelt sich um den zweiten Sicherheitsvorfall innerhalb von zwei Monaten. Im Mai 2026 erlitt Polymarket einen anderen Angriff, bei dem laut On-Chain-Daten rund 700.000 Dollar aus internen Betriebswallets entwendet wurden, die für Prämien genutzt wurden, und zwar durch einen sechs Jahre alten privaten Schlüssel. Damals blieben die Nutzerfonds unberührt.
Die zwei Angriffe auf Polymarket im Jahr 2026
On-Chain-Schätzungen (PeckShield, Bubblemaps). Mai: privater Schlüssel, interne Gelder. Juni: Supply-Chain, Nutzergelder
Privater SchlüsselJuni 2026
Supply-Chain
Der Angriff trifft die Plattform in einer besonders schwierigen Woche. Eine Recherche des Wall Street Journal enthüllte, dass Polymarket Creators dafür bezahlt haben soll, Videos mit fingierten Wetten und Gewinnen zu veröffentlichen. Hinzu kommen jüngste Fälle von Insider-Trading sowie regulatorische Sperren in mehreren europäischen Ländern, darunter auch in Deutschland.
Was das große Bild zeigt
Polymarket ist kein Ausnahmefall. Laut DefiLlama war dies der 89. gemeldete Sicherheitsangriff im zweiten Quartal 2026, der höchste Wert, der je in einem einzelnen Quartal verzeichnet wurde. Die Verluste durch Exploits beliefen sich im Juni laut DefiLlama auf 74,9 Millionen Dollar, gegenüber 60,5 Millionen Dollar im Mai.
Woher kommen die Exploit-Verluste?
Anteil an den Krypto-Exploit-Verlusten der letzten 30 Tage. Quelle: DefiLlama, Juni 2026
- Kompromittierung privater Schlüssel: 43%
- Andere Angriffsvektoren (Supply-Chain, Phishing, Smart Contracts): 57%
Die Botschaft der Daten ist eindeutig. Immer häufiger wird nicht der Blockchain-Code geknackt, sondern die operative Sicherheit: schlecht verwaltete Schlüssel und unkontrollierte externe Abhängigkeiten.
Was das für DApp-Nutzer bedeutet
Die Lektion ist unbequem, aber notwendig. Einem sicheren dezentralen Protokoll zu vertrauen reicht nicht, wenn die Oberfläche, über die man darauf zugreift, manipuliert werden kann. Die Web-Schicht bleibt eine riesige Angriffsfläche, auch in der Web3-Welt.
Die wichtigste Schutzmaßnahme ist eine einzige: Jede Transaktion vor der Unterzeichnung genau lesen, niemals blind bestätigen. Bei größeren Beträgen lohnt es sich, Self-Custody mit einem Hardware-Wallet zu prüfen, das die tatsächliche Zieladresse auf dem eigenen Display anzeigt, wo ein Schadskript nicht eingreifen kann. Und das Erkennen von Angriffssignalen bleibt die beste Absicherung.
Polymarket hat schnell reagiert und sich zur vollständigen Rückerstattung verpflichtet. Die grundlegende Frage bleibt dieselbe, die auf einem stark wachsenden Sektor wie den Prediction Markets lastet: Hält die operative Sicherheit mit den Handelsvolumen Schritt? Zwei Sicherheitslücken in zwei Monaten deuten auf ein klares Nein hin.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Krypto-Assets sind mit hohem Risiko verbunden, und Sie können einen Teil oder das gesamte investierte Kapital verlieren.
