Polymarket-Wallet geplündert durch $700K -Private-Key-Exploit

Eröffnung

Polymarket erlebte am Freitag einen Sicherheitsvorfall, als der On-Chain-Investigator ZachXBT einen vermuteten Abfluss aus einer Wallet meldete, die mit der Polygon-Infrastruktur des Vorhersagemarkts verbunden ist. Anfangs wurde ein fehlender Betrag von über 520.000 US-Dollar berichtet. Anschließend bestätigten die Entwickler von Polymarket den Vorfall und sagten, es habe eine Kompromittierung eines privaten Schlüssels einer „internen Aufstockungs“-Wallet gegeben, die für Rewards-Operationen genutzt wird. Gleichzeitig betonten sie, dass Kundengelder und Marktergebnisse sicher geblieben seien. Die On-Chain-Analytics-Plattform Bubblemaps schätzte später den Gesamtschaden auf ungefähr 700.000 US-Dollar. Die gestohlenen Mittel seien dabei auf 16 Adressen aufgeteilt und über zentrale Börsen sowie andere Dienste weitergeleitet worden.

Vorfalldetails

Das Entwicklungsteam von Polymarket veröffentlichte am 22. Mai 2026 eine Stellungnahme zu den Sicherheitsberichten: „Unsere Erkenntnisse deuten auf eine Kompromittierung eines privaten Schlüssels einer Wallet hin, die für interne Aufstockungs-Operationen genutzt wird – nicht auf Verträge oder die zentrale Kerninfrastruktur.“ In der Erklärung wurde hervorgehoben, dass Kundengelder und die Marktauflösung durch den Vorfall nicht beeinträchtigt wurden.

Die Analyse von Bubblemaps wurde mehr als eine Stunde nach der ersten Bekanntmachung veröffentlicht und lieferte eine detailliertere Einschätzung des Einbruchs. Die Plattform berichtete, dass etwa 700.000 US-Dollar an Geldern ausgenutzt und auf 16 Adressen verteilt wurden; die gestohlenen Assets seien anschließend über zentrale Börsen und andere Finanzdienstleistungen weitergeleitet worden.

Die Wallet, die in den Vorfall verwickelt war, wurde für Rewards-Zahlungen verwendet – getrennt von den Kernverträgen, die Kundengelder verwalten und Marktergebnisse bestimmen. Vorhersagemärkte auf Polymarket laufen über Verträge, die Wetten aufzeichnen und Gewinner auszahlen, nachdem ein externer Dienst das Ergebnis bestätigt.

Technische Bewertung und Expertenanalyse

BlockSec-Mitgründer Andy Yajin Zhou, Associate Professor an der Chinese University of Hong Kong, sagte gegenüber Decrypt, dass die anfängliche Prüfung seines Unternehmens mit Polymarkets Darstellung des Vorfalls übereinstimmte. „Auf Basis unserer ersten Analyse sieht das nicht nach einem Fehler in der Adapter-Contract-Logik oder in der Vorhersagemarkt-Infrastruktur selbst aus“, erklärte Zhou. „In diesem Stadium haben wir keinen Hinweis auf einen Protokoll-Level-Exploit, Manipulation der Oracle oder eine allgemeine Schwachstelle in adapterbasierter Marktinfrastruktur identifiziert.“

Zhou betonte, dass der Vorfall Risiken der operativen Sicherheit widerspiegele, darunter unter anderem Schlüsselverwaltung, Zugriffskontrolle, Signier-Richtlinien, Monitoring und weitere Schutzmaßnahmen rund um Wallets, die für routinemäßige Operationen genutzt werden.

Das Blockchain-Sicherheitsunternehmen Cyvers kam zu einer ähnlichen Einschätzung und stellte fest, dass der Vorfall eher operative oder Admin-Wallets betraf als Polymarkets Kernverträge oder Marktabwicklungs-Systeme. Hakan Unal, Senior Security Operations Lead bei Cyvers, sagte gegenüber Decrypt: „Selbst wenn Vorhersagemarkt-Protokolle auf der Smart-Contract-Ebene sicher sind, bleiben privilegierte Adapter- oder Admin-Wallets eine kritische Angriffsfläche, falls die Schlüsselverwaltung oder die operative Sicherheit kompromittiert wird.“

Operative Sicherheit als Branchenrisiko

Dan Dadybayo, Strategy Lead beim Crypto-Infrastrukturentwickler Horizontal Systems, ordnete den Vorfall als Teil eines breiteren Wandels ein, wie Angreifer Kryptowährungsprojekte ins Visier nehmen. „Das wirkt zunehmend eher wie ein Fehler in der Schlüsselverwaltung als wie ein Exploit eines Smart Contracts“, sagte Dadybayo gegenüber Decrypt. „Die interessante Veränderung in der Krypto-Branche ist, dass Angreifer Protokolle nicht mehr primär aufbrechen. Sie zielen stattdessen auf die operativen Ebenen darum herum: Admin-Wallets, Berechtigungen und Infrastruktur.“

Der Vorfall unterstreicht die Trennung zwischen Protokoll-Level-Sicherheit und Sicherheit der operativen Infrastruktur innerhalb von Vorhersagemarkt-Plattformen.