Polymarket bestätigt Front-End-Lieferketten-Angriff und verspricht vollständige Rückerstattung, nachdem bösartiges Skript Benutzergelder entzogen hat

— By Tony Rabbit in News

Polymarket bestätigt Front-End-Lieferketten-Angriff und verspricht vollständige Rückerstattung, nachdem bösartiges Skript Benutzergelder entzogen hat

Polymarket bestätigte am 25. Juni 2026, dass ein kompromittierter Drittanbieter ein bösartiges Skript in sein Front-End eingeschleust hatte, das einige Benutzer dazu verleitete, Überweisungen zu genehmigen, die ihre Gelder entzogen. Polymarket erklärte, den Vorfall eingedämmt zu haben und betroffenen Benutzern den vollen Betrag zu erstatten. On-Chain-Analysten schätzen die Verluste auf etwa 3 Millionen Dollar.

Am 25. Juni 2026 bestätigte der Prognosemarkt Polymarket, dass seine Website von einem Front-End-Lieferketten-Angriff betroffen war. Laut Polymarkets eigener Erklärung schleuste ein kompromittierter Drittanbieter für einige Benutzer ein bösartiges Skript in die Website ein, das sie dazu veranlasste, Transaktionen zu unterzeichnen, die einem Angreifer die Kontrolle über ihre Gelder übergaben. Polymarket erklärte, den Vorfall eingedämmt, die betroffene Abhängigkeit entfernt und betroffenen Benutzern den vollen Betrag erstattet zu haben. Entscheidend ist, dass dies kein Smart-Contract- oder Oracle-Exploit war. Die zugrunde liegenden Verträge der Plattform wurden nicht verletzt. Der Angriff erfolgte auf der Website-Ebene, weshalb er für jeden wichtig ist, der seine Krypto selbst verwahrt.

Was Polymarket bestätigte

  • Polymarket bestätigte offiziell einen Front-End-Angriff über sein verifiziertes X-Konto am 25. Juni 2026.
  • Ein kompromittierter Drittanbieter schleuste für einige Benutzer ein bösartiges Skript in das Front-End ein.
  • Das Skript forderte betroffene Benutzer auf, Überweisungen von pUSD, Polymarkets USDC-gestütztem Dollar-Token auf Polygon, zu genehmigen.
  • Polymarket erklärte, den Vorfall eingedämmt, die Abhängigkeit entfernt und betroffenen Benutzern den vollen Betrag erstattet zu haben.
  • Die Smart Contracts wurden nicht ausgenutzt. Dies war ein Angriff auf der Website-Ebene.

Was geschah

Polymarket beschrieb den Vorfall in einer öffentlichen Erklärung, die von Medien wie Benzinga, Decrypt und Protos wiedergegeben wurde: "Heute Morgen entdeckten wir, dass ein Drittanbieter kompromittiert wurde und ein bösartiges Skript in unser Frontend für einige Benutzer eingeschleust hat. Wir haben es eingedämmt und die betroffene Abhängigkeit entfernt. Wir kontaktieren betroffene Benutzer und erstatten ihnen den vollen Betrag." Einfach ausgedrückt, wurde eine Software, von der die Polymarket-Website abhing, gekapert, und dadurch schleuste der Angreifer bösartigen Code auf die Website, den einige Besucher luden. Dieser Code brach Polymarkets Verträge nicht. Stattdessen verleitete er Benutzer dazu, Genehmigungen zu unterzeichnen, die dem Angreifer erlaubten, ihre Token zu verschieben.

Ein Front-End-Angriff, kein Vertrags-Hack

Diese Unterscheidung ist die ganze Geschichte. Bei einem Vertrags-Exploit finden Angreifer eine Schwachstelle im On-Chain-Code und entleeren einen Pool direkt. Hier waren die Verträge in Ordnung. Das schwache Glied war die Website, die Schicht zwischen Ihnen und der Blockchain. Durch die Kompromittierung einer Drittanbieter-Abhängigkeit änderte der Angreifer, was die Website die Benutzer zum Unterschreiben aufforderte, und verwandelte eine Routineinteraktion in eine Geldbörsen-entleerende Genehmigung. Dies ist ein Lieferketten-Angriff, und er wird immer häufiger, da das Front-End oft anfälliger ist als die dahinter liegenden geprüften Verträge. Es ist auch wichtig, genau zu sein, um welchen Polymarket-Vorfall es sich handelt. Er ist getrennt vom May 2026 UMA CTF Adapter exploit auf Polygon, einem anderen Ereignis, das von On-Chain-Ermittlern gemeldet wurde, und von früheren Streitigkeiten um das Oracle der Plattform. Hintergrundinformationen zur Plattform selbst finden Sie in unserem Leitfaden zu Polymarket und Prognosemärkten.

Wie viel wurde entwendet

Polymarket veröffentlichte weder eine Dollarzahl, eine Opferzahl noch den Namen des kompromittierten Anbieters. Die kursierenden Zahlen stammen von On-Chain-Analysten, nicht von Polymarket, und sollten als Schätzungen gelesen werden. On-Chain-Sicherheitsfirmen wie PeckShield, Bubblemaps und Specter meldeten, dass etwa 3 Millionen Dollar in pUSD aus weniger als 15 Wallets entzogen wurden. Analysten berichteten auch, dass das gestohlene pUSD von Polygon zu Ethereum überbrückt und in ETH getauscht wurde, bevor es konsolidiert wurde. Da Polymarket selbst keine dieser Zahlen bestätigt hat, behandeln Sie sie als Analystenschätzungen, die überarbeitet werden können, wenn mehr nachverfolgt wird.

Warum das wichtig ist, auch wenn Ihr Token "sicher" ist

Die Lektion hier ist unangenehm, aber wichtig: Token- und Vertragssicherheit ist notwendig, aber nicht ausreichend. Sie können einen Token auf einen Honeypot überprüfen, bestätigen, dass der Vertrag sauber aussieht, und trotzdem Gelder verlieren, wenn die Website, mit der Sie sich verbinden, kompromittiert wurde und Sie eine bösartige Transaktion genehmigen. Das Front-End ist eine eigenständige Angriffsfläche. Wenn die Schnittstelle selbst Sie anlügt, besteht die einzige verbleibende Verteidigung darin, genau zu prüfen, was Ihre Wallet Sie zum Unterschreiben auffordert.

So schützen Sie sich vor Front-End- und Genehmigungsangriffen

Das Fazit

Polymarket scheint schnell reagiert zu haben, den Vorfall eingedämmt und vollständige Rückerstattungen zugesagt zu haben, was den Schaden für die Benutzer begrenzt. Aber die Episode ist eine klare Erinnerung daran, dass im Krypto-Bereich die Website Teil Ihres Bedrohungsmodells ist. Eine kompromittierte Abhängigkeit kann eine vertrauenswürdige Schnittstelle in Sekundenschnelle gegen Sie wenden, und kein Vertragsaudit wird Sie retten, wenn Sie die bösartige Transaktion selbst genehmigen. Nehmen Sie sich Zeit bei jeder Signatur, halten Sie Genehmigungen eng und behandeln Sie unerwartete Aufforderungen als feindselig, bis das Gegenteil bewiesen ist. Dies ist eine sich entwickelnde Geschichte, und die Analysten zugeschriebenen Zahlen können sich ändern. Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanzberatung dar.