Polymarket‑Hack erklärt: Wie ein kompromittiertes Wallet Hunderttausende POL‑Token abfließen ließ

Sobald ein Ereignis bestätigt ist, sorgt diese Integrationsschicht dafür, dass Märkte korrekt aufgelöst werden. Damit gehört der Adapter zu den wichtigen technischen Bausteinen der Abwicklungsinfrastruktur von Polymarket auf Polygon.

Frühe Berichte bezeichneten den Vorfall zunächst als möglichen Smart‑Contract‑Exploit. Spätere Aussagen des Teams deuteten jedoch darauf hin, dass die Logik der Verträge selbst nicht kompromittiert wurde.

Wie der Angriff entdeckt wurde

Der Vorfall wurde zuerst durch On‑chain‑Beobachtungen bekannt. Der Blockchain‑Ermittler ZachXBT bemerkte ungewöhnliche Transaktionen von Adressen, die mit der Adapter‑Infrastruktur verbunden waren.

Auffällig war ein Muster:

• etwa 5.000 POL wurden ungefähr alle 30 Sekunden abgezogen.

Diese regelmäßigen Abflüsse deuteten eher auf einen automatisierten Drain als auf eine einzelne Exploit‑Transaktion hin. Warnungen verbreiteten sich daraufhin schnell über Krypto‑Analysekanäle und Medienberichte, während Beobachter die Wallet‑Aktivität in Echtzeit verfolgten.

Wie der Angreifer die Gelder bewegte

On‑chain‑Analysen zeigten mehrere typische Schritte nach dem Diebstahl:

• Mindestens zwei Wallet‑Adressen aus der Adapter‑Infrastruktur wurden geleert.
• Die gestohlenen POL‑Token wurden auf mehrere neue Wallets verteilt, um die Nachverfolgung zu erschweren.
• Ein Teil der Mittel wurde in Richtung Krypto‑Börsen transferiert, vermutlich um die Token zu tauschen oder auszuzahlen.

Da Blockchain‑Transaktionen öffentlich sind, konnten Ermittler die Bewegungen der Token nahezu in Echtzeit nachvollziehen.

Warum Polymarket keinen Smart‑Contract‑Exploit sieht

Obwohl viele erste Meldungen von einem Exploit sprachen, erklärte Polymarket später, dass der Angriff durch einen kompromittierten Private Key eines internen Operations‑Wallets verursacht wurde.

Der Unterschied ist entscheidend:

• Smart‑Contract‑Exploit: Angreifer nutzen einen Programmierfehler im Code, um Gelder zu stehlen.
• Private‑Key‑Kompromittierung: Angreifer besitzen den legitimen Schlüssel und können damit gültige Transaktionen signieren.

In diesem Fall nutzte der Angreifer laut Plattform einfach die gestohlene Signaturberechtigung. Das System selbst funktionierte also technisch wie vorgesehen – nur unter falscher Kontrolle.

Aussage von Polymarket zu Nutzerfonds

Polymarket betonte öffentlich, dass Nutzerfonds nicht betroffen gewesen seien. Auch die Marktauflösung und die Kerninfrastruktur der Plattform hätten normal weiter funktioniert.

Nach Angaben des Teams beschränkte sich der Vorfall auf ein einzelnes internes Operations‑Wallet und hatte keinen direkten Einfluss auf Handels‑ oder Abwicklungsverträge.

Offene Fragen nach dem Vorfall

Trotz der ersten Erklärung blieben mehrere wichtige Punkte zunächst ungeklärt:

• Wie der Private Key kompromittiert wurde – etwa durch Infrastruktur, Entwicklergeräte oder andere Sicherheitslücken.
• Warum das Wallet genügend Rechte hatte, um größere Summen zu bewegen.
• Warum die wiederholten Abhebungen längere Zeit weiterliefen, bevor sie gestoppt wurden.
• Welche Key‑Management‑Mechanismen eingesetzt wurden, etwa Multisignature‑Wallets oder Hardware‑Security‑Module.

Ohne detaillierten technischen Bericht lässt sich daher nur festhalten: Der Vorfall deutet eher auf ein operatives Sicherheitsproblem im Schlüsselmanagement hin als auf einen grundlegenden Fehler im DeFi‑Protokoll selbst.

Größere Lehre für DeFi‑Sicherheit

Der Fall zeigt ein bekanntes Muster im DeFi‑Sektor: Selbst wenn Smart Contracts korrekt programmiert sind, bleiben operative Systeme und Private‑Key‑Verwaltung kritische Angriffsflächen.

Wenn ein Angreifer die Kontrolle über einen Schlüssel erhält, kann er legitime Transaktionen signieren – und damit viele Schutzmechanismen der Blockchain umgehen. Für Plattformen mit komplexer Infrastruktur aus Oracles, Adaptern und internen Wallets wird daher strenges Key‑Management, Monitoring und klare Rechte‑Trennung immer wichtiger.