Polymarket bestätigt Hack der internen Wallet – Benutzerfonds bleiben sicher

Am 14. Juni 2026 bestätigte Polymarket einen Hack der internen Wallet, der Wellen durch die Community der Vorhersagemärkte schlug. Der Vorfall, der zuerst von der On-Chain-Analysefirma Bubblemaps gemeldet wurde, beinhaltete eine Reihe verdächtiger automatisierter Überweisungen von einer operativen Wallet, die mit dem Belohnungssystem der Plattform verbunden ist. Polymarket reagierte schnell und stellte klar, dass die Benutzerfonds sicher bleiben, und führte den Vorfall auf einen Kompromiss des privaten Schlüssels zurück, nicht auf einen Fehler in den Kern-Smart-Contracts der Plattform. Diese Unterscheidung ist von enormer Bedeutung: Eine Schwachstelle im Smart Contract hätte jede Dollar auf der Plattform bedrohen können, während eine kompromittierte operative Wallet, obwohl ernst, ein begrenztes Problem darstellt. Für alle, die die Bedrohungen der Cybersicherheit von dezentralen Finanzplattformen in Echtzeit beobachten, bietet dieser Vorfall eine nützliche Fallstudie darüber, wie moderne Vorhersagemärkte mit Sicherheitsfehlern umgehen, was gut lief und was noch behoben werden muss.

Die Entdeckung: Bubblemaps-Warnungen und automatisierte Abflüsse

Das erste öffentliche Signal kam nicht von Polymarket selbst, sondern von Bubblemaps, einem On-Chain-Visualisierungstool, das Wallet-Cluster und Tokenflüsse über mehrere Netzwerke hinweg überwacht. Ihr automatisiertes Warnsystem erkannte ein Muster von Abflüssen von einer bekannten, mit Polymarket verbundenen Adresse im Polygon-Netzwerk, was sofortige Aufmerksamkeit von der breiteren Krypto-Sicherheitsgemeinschaft auslöste.

Innerhalb weniger Stunden bestätigten unabhängige Forscher die Feststellung. Die fragliche Wallet war systematisch durch eine Reihe identischer Transaktionen leergeräumt worden, wobei jede einen festen Betrag an POL-Token in regelmäßigen Abständen übertrug. Die mechanische Präzision der Überweisungen war ein klarer Hinweis: Kein menschlicher Betreiber bewegt Gelder in einem so starren, sich wiederholenden Muster.

Mustererkennung: Wiederkehrende 5.000 POL-Überweisungen

Der Angreifer führte Überweisungen von genau 5.000 POL etwa alle 12 Minuten über mehrere Stunden hinweg durch. Diese Art der schrittweisen Extraktion ist eine gängige Taktik. Anstatt eine Wallet in einer einzigen großen Transaktion zu leeren, die sofortige Warnungen auslösen und möglicherweise vorab erkannt oder eingefroren werden könnte, verteilte der Angreifer den Diebstahl über Dutzende kleinerer Transaktionen.

Als Bubblemaps Alarm schlug, waren bereits etwa 230.000 POL (zum damaligen Zeitpunkt etwa 115.000 USD wert) aus der Wallet abgeflossen. Die Einheitlichkeit der Beträge und der Zeitpunkte deutete stark darauf hin, dass ein Skript oder Bot die Extraktion durchführte, nicht manuelle Abhebungen.

Verfolgung der Angreiferadresse im Polygon-Netzwerk

On-Chain-Ermittler verfolgten schnell die empfangende Adresse. Die Adresse des Angreifers hatte vor dem Vorfall keine vorherige Transaktionshistorie, was typisch für frisch generierte Wallets ist, die für Angriffe verwendet werden. Die Transparenz von Polygon bedeutete, dass jeder Schritt öffentlich sichtbar war, aber die Geschwindigkeit der Extraktion und die anschließende Verschleierung erschwerten eine Intervention in Echtzeit. Blockchain-Forensikfirmen wie Chainalysis und Arkham Intelligence begannen innerhalb von 24 Stunden, die zugehörigen Adressen zu kennzeichnen.

Offizielle Erklärung von Polymarket: Kompromiss der internen Wallet

Die Reaktion von Polymarket kam etwa sechs Stunden nach der Warnung von Bubblemaps. Die Plattform veröffentlichte eine Erklärung auf X (ehemals Twitter) und ihrem offiziellen Blog, in der der Vorfall bestätigt und erste Details bereitgestellt wurden. In der Erklärung wurde ausdrücklich darauf hingewiesen, dass keine Benutzerkonten, Marktpositionen oder Auflösungsmechanismen betroffen waren. Polymarket beschrieb den Vorfall als einen „Kompromiss des privaten Schlüssels einer internen operativen Wallet“ und zog eine klare Linie zwischen diesem Vorfall und einer systemischen Schwachstelle in der Architektur der Plattform.

Kompromiss des privaten Schlüssels vs. Schwachstelle im Smart Contract

Diese Unterscheidung ist entscheidend und sollte klar verstanden werden. Eine Schwachstelle im Smart Contract bedeutet, dass der Code, der die Kernfunktionen der Plattform (Einzahlungen, Abhebungen, Markterschaffung, Auflösung) regelt, einen Fehler aufweist, den ein Angreifer ausnutzen kann. Ein solcher Fehler kann ganze Protokolle leeren. Wir haben dies beim Euler Finance-Hack im Jahr 2023 und beim Mango Markets-Exploits im Jahr 2022 gesehen.

Ein Kompromiss des privaten Schlüssels ist grundlegend anders. Es bedeutet, dass jemand Zugang zu dem kryptografischen Schlüssel erlangt hat, der eine bestimmte Wallet steuert. Die Smart Contracts der Plattform funktionierten genau wie vorgesehen; das Problem war, dass eine unbefugte Partei Zugang zu den Anmeldeinformationen einer bestimmten Adresse erhielt. Man kann es sich so vorstellen, als würde jemand den Schlüssel des Büros eines Bankmanagers stehlen, anstatt einen Fehler im Schlossmechanismus des Tresors zu finden. Beides ist schlecht, aber der Radius der Auswirkungen unterscheidet sich enorm.

Die letzte Smart Contract-Prüfung von Polymarket, die Anfang 2026 von Trail of Bits durchgeführt wurde, ergab keine kritischen Schwachstellen. Diese Ergebnisse der Smart Contract-Prüfung von Polymarket sind hier relevant, da sie die Integrität des Codes bestätigen, der tatsächlich die Benutzerfonds verwaltet.

Die Rolle der operativen Wallet bei der Auszahlung von Belohnungen

Die kompromittierte Wallet hatte eine spezifische Funktion: die Verteilung von Liquiditätsbergbau-Belohnungen und Werbeanreizen an aktive Händler. Sie hielt POL-Token, die für diese Programme vorgesehen waren, nicht USDC oder andere Stablecoins, die für Marktpositionen verwendet werden.

Diese Wallet fungierte als Hot Wallet, was bedeutet, dass ihr privater Schlüssel so gespeichert war, dass automatisierte, häufige Transaktionen ermöglicht wurden. Die Sicherheitskompromisse zwischen Hot Wallets und Cold Storage sind in der Branche gut bekannt: Hot Wallets ermöglichen Geschwindigkeit und Automatisierung, tragen jedoch ein höheres Risiko, da ihre Schlüssel für Online-Systeme zugänglich sind. Cold Storage ist viel sicherer, aber unpraktisch für hochfrequente, automatisierte Auszahlungen. Die betriebliche Notwendigkeit des Designs dieser Wallet ist genau das, was sie anfällig machte.

Wirkungsbewertung und Zusicherung der Benutzersicherheit

Der finanzielle Schaden durch diesen Vorfall war relativ begrenzt. Die etwa 115.000 USD an gestohlenen POL stellen einen kleinen Bruchteil des gesamten gesperrten Wertes von Polymarket dar, der zum Zeitpunkt des Vorfalls über 480 Millionen USD betrug. Das tägliche Handelsvolumen der Plattform blieb unbeeinträchtigt, und keine Märkte wurden pausiert oder gestört.

Die Architektur von Polymarket spielte eine bedeutende Rolle bei der Begrenzung des Schadens. Die Plattform trennt operative Wallets von der Smart Contract-Infrastruktur, die Benutzer-Einlagen hält und Marktresultate verwaltet. Diese Kompartimentierung ist eine bewusste Designentscheidung, die sich hier ausgezahlt hat.

Isolation der Benutzereinlagen und Marktauflösungen

Benutzerfonds auf Polymarket werden innerhalb von Smart Contracts im Polygon gehalten, die durch den Code des Protokolls kontrolliert werden, nicht durch einen einzelnen privaten Schlüssel. Einzahlungen, Abhebungen und Marktauflösungen werden alle über diese Verträge ausgeführt. Die kompromittierte operative Wallet hatte keine Befugnis über diese Funktionen.

Diese Trennung folgt einem Prinzip, das reife DeFi-Protokolle zunehmend übernommen haben: die Anzahl der Wallets mit umfassenden Berechtigungen zu minimieren. Die operative Wallet konnte nur POL für Belohnungen senden; sie konnte nicht mit Benutzerkonten interagieren, Marktparameter ändern oder Auflösungen auslösen. Selbst wenn der Angreifer die Märkte manipulieren wollte, fehlten dieser Wallet einfach die Berechtigungen dazu.

Aktueller Status der Plattformoperationen und Liquidität

Zum Zeitpunkt der Erstellung dieses Artikels ist Polymarket voll funktionsfähig. Die Verteilung der Belohnungen wurde vorübergehend pausiert, während das Team die Schlüssel wechselte und eine Ersatzwallet einrichtete. Die Plattform bestätigte, dass ausstehende Belohnungen, die den Benutzern geschuldet werden, aus einer separaten Schatzzuweisung erfüllt werden.

Die Liquidität in den wichtigsten Märkten, einschließlich der US-politischen Vorhersagemärkte und globalen Ereignisverträge, blieb stabil. In den 48 Stunden nach der Offenlegung gab es keinen signifikanten Anstieg der Abhebungen, was darauf hindeutet, dass die Community Polymarkets Erklärung und die begrenzte Natur des Vorfalls weitgehend akzeptierte.

Sicherheitsimplikationen für dezentrale Vorhersagemärkte

Dieser Hack wirft umfassendere Fragen darüber auf, wie Vorhersagemärkte und DeFi-Plattformen im Allgemeinen das Spannungsfeld zwischen Dezentralisierung und betrieblichem Komfort managen. Polymarket operiert als Hybrid: Die Kernmechanik des Marktes läuft auf Smart Contracts, aber verschiedene unterstützende Funktionen (Belohnungen, Analysen, Kundenservice) basieren auf traditionellerer, zentralisierter Infrastruktur.

Dieses hybride Modell ist im DeFi-Bereich im Jahr 2026 gängig. Vollständig dezentrale Operationen bleiben für Plattformen, die Mainstream-Nutzer an Bord nehmen, Vorschriften wie MiCA in Europa einhalten und wettbewerbsfähige Benutzererfahrungen aufrechterhalten müssen, unpraktisch. Der Kompromiss besteht darin, dass zentralisierte Komponenten zentrale Fehlerquellen einführen.

Risiken zentralisierter operativer Wallets

Jede Wallet, die von einem einzelnen privaten Schlüssel kontrolliert wird, ist ein Ziel. Die Sicherheitsprotokolle des Vorhersagemarktes, die die benutzerorientierten Smart Contracts regeln, erstrecken sich nicht auf diese operativen Wallets, es sei denn, das Team entwirft sie ausdrücklich dafür. Häufige Angriffsvektoren sind:

• Komprimierte Entwicklermaschinen oder Cloud-Umgebungen, in denen Schlüssel gespeichert sind
• Phishing-Angriffe, die auf Teammitglieder mit Wallet-Zugang abzielen
• Innere Bedrohungen durch aktuelle oder ehemalige Mitarbeiter
• Lieferkettenangriffe auf Software zur Schlüsselverwaltung

Der Vorfall bei Polymarket wurde noch keinem spezifischen Vektor zugeordnet, obwohl die Plattform erklärte, dass eine Untersuchung mit Unterstützung externer Sicherheitsfirmen im Gange ist.

Best Practices zur Minderung der Risiken von Hot Wallets

Mehrere Praktiken können das Risiko und die Auswirkungen von Kompromissen bei Hot Wallets reduzieren:

• Verwenden Sie Multisig-Wallets für jede Adresse, die signifikanten Wert hält, auch für operative
• Implementieren Sie Ausgabenlimits, die den Betrag begrenzen, den eine einzelne Transaktion oder ein Zeitraum bewegen kann
• Rotieren Sie Schlüssel nach einem regelmäßigen Zeitplan und nach Personalwechseln
• Speichern Sie die Schlüssel von Hot Wallets in Hardware-Sicherheitsmodulen anstelle von softwarebasierten Lösungen
• Überwachen Sie Abflüsse in Echtzeit mit automatisierten Warnungen, die darauf abgestimmt sind, anomale Muster zu erkennen

Polymarket hat angekündigt, mehrere dieser Maßnahmen für seine Ersatz-Operative Wallet zu übernehmen, einschließlich Multisig-Anforderungen und Ausgabenobergrenzen pro Transaktion.

Laufende Überwachung und zukünftige Maßnahmen zur Behebung

Die Reaktion von Polymarket auf diesen Kompromiss des privaten Schlüssels der Krypto-Wallet war weitgehend transparent, was einen positiven Präzedenzfall schafft. Die Plattform verpflichtete sich, innerhalb von 30 Tagen einen vollständigen Nachbericht zu veröffentlichen, einschließlich der Ursachen des Schlüsselverlusts, eines detaillierten Zeitplans und der spezifischen Maßnahmen, die umgesetzt werden.

Das breitere Ökosystem der Vorhersagemärkte sollte dies zur Kenntnis nehmen. Während Plattformen wie Polymarket, Kalshi und neuere Anbieter um Marktanteile konkurrieren, werden Sicherheitsvorfälle zunehmend das Vertrauen der Benutzer und die regulatorische Wahrnehmung prägen. Ein gut behandelter Vorfall, mit schneller Offenlegung, klarer Kommunikation und nachweisbarer Eindämmung, kann tatsächlich die Glaubwürdigkeit einer Plattform stärken. Ein schlecht behandelter Vorfall, mit Verzögerungen, Verschleierung oder Verlusten für Benutzer, kann fatal sein.

Für die Benutzer ist die Botschaft klar: Verstehen Sie, wo Ihre Gelder tatsächlich liegen. Wenn sie sich in einem Smart Contract mit geprüftem Code und ohne Zugriff durch einen einzelnen Schlüssel befinden, sind Sie in einer grundlegend anderen Risikokategorie, als wenn sie sich in einer Wallet befinden, die von einem Laptop einer Person kontrolliert wird. Stellen Sie die Frage. Lesen Sie die Prüfberichte. Und achten Sie darauf, wenn On-Chain-Analysten wie Bubblemaps Alarm schlagen, denn sie erkennen oft Probleme, bevor die Plattformen selbst es tun.