Polymarket-hacket: 3 millioner dollars forsvandt, og tilliden er i frit fald

Angrebet udnyttede en klassisk svaghed i krypto-platforme: Selv når blockchain-smartkontrakter er sikre, kan afhængigheder af tredjeparter skabe sårbarheder. Brugere, der interagerede med den legitime Polymarket-hjemmeside, blev narret til at godkende svigagtige transaktioner, fordi den ondsindede kode kørte på den rigtige platform .

Sikkerhedsforanstaltninger, Polymarket tog

Polymarkets øjeblikkelige reaktion, annonceret på X/Twitter, omfattede:

• Isolering og fjernelse af den kompromitterede tredjepartsafhængighed fra platformens frontend
• Fuld tilbagebetaling til alle berørte brugere – virksomheden forpligtede sig til at kompensere ofrene fuldt ud
• En igangværende undersøgelse, selvom Polymarket nægtede at navngive den involverede leverandør

Reaktionen var hurtig – virksomheden opdagede og bekræftede bruddet samme morgen, det skete. Det var dog Polymarkets anden sikkerhedshændelse på under to måneder. I midten af maj 2026 førte et internt tegnebogshack til tab på cirka 700.000 dollars efter en kompromitteret privat nøgle . Den tidligere hændelse påvirkede heller ikke brugernes midler direkte, men den viste svagheder i Polymarkets operationelle sikkerhed, som juni-angrebet bekræftede.

Den vildledende markedsføringsskandale

Kun dage før hacket, den 20. juni 2026, offentliggjorde Wall Street Journal en bombastisk undersøgelse, der afslørede, at Polymarket havde betalt influencere for at producere videoer, der falsk viste brugere, der vandt store summer på platformen .

Nøglefund fra WSJ-undersøgelsen:

• Analytikere gennemgik 1.105 videoer om Polymarket på sociale medier. 778 af dem viste falske væddemål på klonede hjemmesider – ingen brugte den rigtige Polymarket-børs .
• Videoerne påstod samlet at vise gevinster for i alt 1,9 millioner dollars .
• Polymarket leverede instruktionsmaterialer til influencere om, hvordan de skulle iscenesætte væddemålene .
• Den 26. juni 2026 – dagen efter hacket – anlagde National Association of Consumer Advocates en retssag, der beskyldte Polymarket for at føre en vildledende markedsføringskampagne, betale for skjult reklame, aggressivt målrette universitetsstuderende og skjule sandsynligheden for at tabe .
• Polymarket svarede med at sige, at de var i gang med at revidere deres markedsføringsmateriale .

WSJ-rapporten detaljerede, hvordan en markedsføringsmedarbejder, Virality, styrede netværket af influencere og betalte dem mellem 2.000 og 3.000 dollars om måneden – med betingelse om, at mindst 60 % af deres publikum var bosat i USA, på trods af den regulatoriske usikkerhed omkring predictionsmarkeder .

Hvordan disse kriser forstærker hinanden

De to skandaler, der følger lige efter hinanden, skaber en forstærkende tillidskrise på flere fronter:

Timingen er afgørende: Hacket fandt sted fem dage efter WSJ-undersøgelsen, hvilket betyder, at sikkerhedssvigtet straks bekræftede kritikernes påstand om, at Polymarkets operationelle og etiske standarder var farligt løse. Virksomheden står nu over for en samtidig sikkerheds-, juridisk- og omdømmekrise uden nogen klar vej til at genvinde brugernes tillid.

Bredere implikationer for krypto-platforme

Polymarkets supply-chain-hack er en del af et større mønster inden for kryptosikkerhed. Supply-chain-angreb, der målretter tredjepartsleverandører, bliver stadig mere almindelige, fordi de omgår den stærke sikkerhed i blockchain-infrastrukturen. Angrebsvektoren – ondsindet JavaScript-injektion gennem en kompromitteret frontend-afhængighed – er velkendt, men svær at forhindre uden grundig leverandørkontrol og kontrol af kodeintegritet .

For brugere, der interagerer med en hvilken som helst krypto-platform, understreger Polymarket-hændelsen flere vigtige lektioner:

• Smartkontraktsikkerhed er ikke nok, hvis frontend-afhængigheder er kompromitteret.
• Tredjepartsleverandørrisiko kræver løbende overvågning, ikke kun indledende due diligence.
• Flere sikkerhedshændelser i hurtig rækkefølge peger på systemiske svagheder, ikke isolerede fejl.

Polymarket har forpligtet sig til at tilbagebetale alle berørte brugere, men virksomheden har ikke navngivet den kompromitterede leverandør eller givet detaljer om, hvordan bruddet vil forhindre fremtidige hændelser . Uden gennemsigtighed og meningsfulde sikkerhedsforbedringer bliver genopbygningen af brugertillid en stejl bjergbestigning.