Polymarket hat am Freitag einen Sicherheitsvorfall bestätigt, bei dem rund 573.000 US-Dollar in POL-Token abflossen. Auslöser war kein Hack der Smart Contracts, sondern ein kompromittierter Private Key – sechs Jahre alt und in einer internen Top-up-Konfiguration hinterlegt. Nutzergelder und Marktauflösungen seien zu keinem Zeitpunkt betroffen gewesen, betont der größte dezentrale Prognosemarkt der Welt.
Der On-Chain-Ermittler ZachXBT hatte den Vorfall zuerst öffentlich gemacht und zunächst von mindestens 520.000 Dollar gesprochen, abgeflossen aus zwei Adressen rund um Polymarkets UMA-CTF-Adapter auf der Polygon-Blockchain. Analyseplattformen wie Bubblemaps korrigierten die Summe im Tagesverlauf nach oben – auf bis zu 700.000 Dollar in den höchsten Schätzungen. Der Angreifer zog die Mittel in kleinen Tranchen von je 5.000 POL im Abstand weniger Sekunden ab, ein automatisiertes Muster, das auf ein Skript statt auf eine einzelne Exploit-Transaktion hindeutet.
Josh Stevens, Vice President of Engineering bei Polymarket, ordnete den Vorfall noch am selben Tag ein: kein Contract-Hack, sondern ein veralteter Schlüssel aus einer internen Konfiguration für automatische Guthaben-Aufstockungen. Alle damit verbundenen Produktions-Berechtigungen seien widerrufen, der Schlüssel rotiert und die Verwaltung künftig auf ein KMS-Key-Management-System umgestellt. Auch Polygon-Labs-CTO Mudit Gupta bestätigte, dass Verträge und Nutzergelder unangetastet blieben.
Warum der Unterschied entscheidend ist
Die erste Welle der Berichterstattung sprach von einem „Smart-Contract-Exploit“ – eine Einordnung, die Polymarket umgehend zurückwies. Der Unterschied ist mehr als Wortklauberei: Wäre tatsächlich der UMA-CTF-Adapter selbst geknackt worden, stünde die Auflösungslogik aller Märkte infrage, über die der Prognosemarkt seine Wetten abrechnet. Ein kompromittierter Operations-Schlüssel dagegen ist ein Versagen auf der Zugriffskontroll-Ebene – teuer, aber außerhalb der eigentlichen Marktinfrastruktur.
Bemerkenswert ist die Reaktion danach: Gemeinsam mit ZachXBT, dem Dienstleister BitcoinVN und der Wechselplattform ChangeNOW konnten nach Angaben von Stevens 164.000 der 573.200 abgeflossenen Dollar eingefroren werden. Ein Teil der Beute war zuvor über ChangeNOW geschleust worden, wie die Sicherheitsfirma PeckShield bestätigte. Die schnelle, koordinierte Reaktion ist die andere Seite der Medaille zu einer Lücke, die sechs Jahre lang unbemerkt blieb.
Heikler Zeitpunkt für Polymarket
Für Polymarket fällt der Vorfall in eine ohnehin angespannte Phase. Die Plattform stand zuletzt wiederholt wegen Insider-Trading-Vorwürfen in den Schlagzeilen, gegen die das Unternehmen mittlerweile selbst in seinem Entwicklerprogramm ermittelt. Parallel prüft die südkoreanische Korea Communications Standards Commission, ob es sich bei Polymarket um eine illegale Glücksspielplattform handelt, und der US House Oversight Committee verlangt bis Anfang Juni einen Bericht zu Verifizierungs- und Überwachungsmethoden.
Das Reputationsrisiko wiegt damit schwerer als der unmittelbare Schaden. Polymarket befand sich zuletzt in Gesprächen über eine Kapitalrunde von rund 400 Millionen Dollar bei einer Bewertung von etwa 15 Milliarden Dollar – nach einer Strategieinvestition von 600 Millionen Dollar durch Intercontinental Exchange, die Muttergesellschaft der New York Stock Exchange. In dieser Phase ist jede Negativschlagzeile eine, die das Vertrauen potenzieller Investoren und Nutzer auf die Probe stellt. Der finanzielle Verlust dürfte verkraftbar sein – die Frage, wie ein sechs Jahre alter Schlüssel so lange im aktiven Einsatz bleiben konnte, dürfte länger nachhallen.
Hier geht es zum Beitrag: Kalshi Prognosemarkt.
Alex Merten hat Wirtschaftswissenschaften mit Fokus auf Geldpolitik und digitale Märkte studiert. Seit mehr als 5 Jahren analysiert er die Entwicklungen im Krypto- und Finanzsektor und beschäftigt sich besonders mit der Rolle von Bitcoin in einem globalen Marktumfeld. Neben makroökonomischen Einschätzungen liegt sein Fokus auf datenbasierten Kursprognosen, Marktanalysen und verständlich aufbereiteten Infografiken. Neben seiner Tätigkeit auf boersen-parkett.de veröffentlicht er auch Beiträge auf cryptonews.com und 99bitcoins.com. Bei seiner Arbeit legt er besonderen Wert auf Faktentreue, Relevanz und eine klare Einordnung des täglichen Marktgeschehens.
Boersen-Parkett bei Google als bevorzugte Nachrichtenquelle markieren und keine Finanz- und Krypto-News mehr verpassen.