Polymarket Frontend-Supply-Chain-Phishing-Angriff

Am 25. Juni 2026 wurde das Frontend von Polymarket — dem größten On-Chain-Prognosemarkt — gegen die eigenen Nutzer verwendet und zog etwa 2,94 Millionen $ aus mindestens 11 Wallets ab, nachdem Angreifer über einen kompromittierten Drittanbieter ein schädliches Skript eingeschleust hatten. Die Smart Contracts der Plattform wurden nie berührt; der Diebstahl fand vollständig auf der Anwendungsebene statt, wo Nutzer der Oberfläche vertrauen, die sie sehen.

Was geschah

Der Angriff war eine Supply-Chain-Kompromittierung und kein direkter Einbruch in Polymarkets eigene Infrastruktur. Die Angreifer manipulierten den Code einer Drittanbieter-Abhängigkeit, die Polymarket über seine Website auslieferte, und das manipulierte Skript wurde an einige Nutzer ausgeliefert, sobald sie das Frontend luden. Sobald ein Opfer seine Wallet verband, forderte der eingeschleuste Code es auf, Transaktionen zu signieren oder freizugeben, die routinemäßig aussahen, dem Angreifer jedoch tatsächlich die Kontrolle über die Guthaben übergaben. Das Skript zielte gezielt auf PUSD, Polymarkets Sicherheiten-Stablecoin auf Polygon. Nach Erteilung der Freigaben zog der Angreifer PUSD aus den betroffenen Konten ab, bridgte die Erlöse anschließend von Polygon nach Ethereum und tauschte sie in rund 1.893 ETH, um schnell zu liquidieren und die Spur zu verwischen. Der Blockchain-Analyst Specter entdeckte den Abfluss zuerst on-chain, und die Sicherheitsfirma PeckShield schätzte den Gesamtschaden auf etwa 3 Millionen $ bei mehr als einem Dutzend Opfern.

Nachwirkungen

Polymarket erklärte, den Vorfall innerhalb von etwa 15 Minuten nach der ersten öffentlichen Meldung eingedämmt, die betroffene Abhängigkeit entfernt und mit der Kontaktaufnahme zu den Opfern begonnen zu haben. Das Unternehmen sagte zu, die betroffenen Nutzer vollständig zu entschädigen, nannte zunächst aber weder den kompromittierten Anbieter noch die Zahl der betroffenen Konten. Die gemeldeten Verluste stiegen später auf rund 3,1 Millionen $, da weitere Wallets identifiziert wurden, und das Entschädigungsversprechen geriet in die Kritik, wie die Erstattung überprüft würde. Da die gestohlenen Gelder selbst nicht vom Angreifer zurückgeholt wurden — die Erlöse waren bereits gebridgt und in ETH umgewandelt —, bleibt der Vorfall als Verlust eingestuft; die zugesagten Erstattungen sind eine Rückzahlung durch Polymarket, keine Wiedererlangung der gestohlenen Vermögenswerte.

Warum es wichtig ist

Polymarket ist eine Lehrbucherinnerung daran, dass das Frontend eines Protokolls Teil seiner Angriffsfläche ist, selbst wenn die Verträge fehlerfrei sind. Das Muster ähnelt BadgerDAO, wo ein in die Web-App eingeschleustes schädliches Skript Token-Freigaben direkt aus den Wallets der Nutzer abgriff, und Curve, wo Angreifer die Oberfläche statt des Codes kaperten. Da Supply-Chain-Angriffe auf Drittanbieter-Abhängigkeiten immer häufiger werden, ist die Lehre eindeutig: Nutzer können ein vergiftetes Frontend nicht von einem sauberen unterscheiden, daher liegt die Last bei den Betreibern, jede Abhängigkeit abzusichern, die den Signier-Dialog erreichen kann.