Polymarket-Hack: 3 Millionen US-Dollar gestohlen – und die Glaubwürdigkeitskrise wird immer größer

Am 25. Juni 2026 wurde Polymarket Opfer eines Supply-Chain-Angriffs, bei dem rund 3 Millionen US-Dollar an Nutzergeldern abflossen. Der Vorfall ereignete sich nur fünf Tage, nachdem eine Untersuchung des Wall Street Journal enthüllt hatte, dass die Plattform Content-Ersteller dafür bezahlte, gefälschte Gewinn-Videos zu produzieren. Dieses Timing machte aus einem schwerwiegenden Sicherheitsvorfall eine noch tiefere Glaubwürdigkeitskrise – und wirft zentrale Fragen zur betrieblichen Integrität, zum Lieferkettenmanagement und zum Nutzerschutz der Plattform auf.

Wie der 3-Millionen-Dollar-Hack ablief

Die Angreifer kompromittierten einen nicht näher bezeichneten Drittanbieter, den Polymarket für das Frontend seiner Website nutzte. Von dort aus schleusten sie bösartigen JavaScript-Code in das Frontend ein, der bei einem Teil der Nutzer eine Phishing-ähnliche Attacke auslöste. Die zentralen Smart Contracts und die Blockchain-Infrastruktur wurden nicht kompromittiert – der Angriff war ein reiner Supply-Chain-Angriff auf die Frontend-Ebene .

Die wichtigsten technischen Details:

• Ziel: Das schadhafte Skript zielte auf weniger als 15 Konten ab; On-Chain-Daten von Bubblemaps deuten auf mindestens 11 geleerte Wallets hin .
• Gestohlene Werte: Gestohlen wurde pUSD (Polymarkets gebrückter USDC auf Polygon). Die Angreifer brückten die Gelder von Polygon nach Ethereum und tauschten sie in etwa 1.893 ETH um .
• Schadensschätzung: Der unabhängige Sicherheitsanalyst Specter beziffert den bestätigten Verlust auf 2,94 Millionen US-Dollar, während Polymarket und andere Quellen von rund 3 Millionen US-Dollar ausgehen .

Der Angriff nutzte eine klassische Schwachstelle von Krypto-Plattformen aus: Selbst wenn die Blockchain-Smart-Contracts sicher sind, können Abhängigkeiten von Drittanbietern Einfallstore schaffen. Nutzer, die mit der legitimen Polymarket-Website interagierten, wurden dazu gebracht, betrügerische Transaktionen zu autorisieren, da der schadhafte Code auf der echten Plattform-Domain lief .

Die Sicherheitsmaßnahmen von Polymarket

Die unmittelbare Reaktion von Polymarket, bekannt gegeben auf X/Twitter, umfasste:

• Eindämmung und Entfernung der kompromittierten Drittanbieter-Abhängigkeit aus dem Frontend
• Vollständige Rückerstattungen an alle betroffenen Nutzer – das Unternehmen verpflichtete sich, die Geschädigten zu entschädigen
• Eine laufende Untersuchung, wobei Polymarket sich weigerte, den beteiligten Anbieter zu nennen

Die Reaktion war schnell – das Unternehmen entdeckte und bestätigte den Vorfall noch am selben Morgen. Allerdings handelte es sich um den zweiten Sicherheitsvorfall innerhalb von weniger als zwei Monaten. Mitte Mai 2026 führte ein interner Wallet-Hack zu Verlusten von etwa 700.000 US-Dollar, nachdem ein privater Schlüssel kompromittiert worden war . Auch dieser frühere Vorfall hatte keine direkten Auswirkungen auf Nutzergelder, zeigte aber Schwächen in der operationellen Sicherheit von Polymarket auf, die der Supply-Chain-Angriff im Juni nun bestätigte.

Der Betrugs-Skandal im Marketing

Nur wenige Tage vor dem Hack, am 20. Juni 2026, veröffentlichte das Wall Street Journal eine bombastische Untersuchung, die enthüllte, dass Polymarket Social-Media-Ersteller dafür bezahlte, Videos zu produzieren, die fälschlicherweise hohe Gewinne auf der Plattform zeigten .

Die wichtigsten Erkenntnisse der WSJ-Untersuchung:

• Analysten überprüften 1.105 Videos über Polymarket auf sozialen Plattformen. 778 davon zeigten gefälschte Wetten auf Nachbau-Seiten – keine einzige nutzte die echte Polymarket-Börse .
• Die Videos suggerierten angeblich Gewinne in Höhe von insgesamt 1,9 Millionen US-Dollar .
• Polymarket stellte den Erstellern Anleitungsmaterialien zur Verfügung, wie die Wetten inszeniert werden sollten .
• Am 26. Juni 2026 – einen Tag nach dem Hack – reichte die National Association of Consumer Advocates eine Klage ein, die Polymarket vorwirft, ein betrügerisches Marketing-System orchestriert, für verschleierte Anzeigen bezahlt und gezielt College-Studenten angesprochen zu haben, während die Verlustwahrscheinlichkeiten verschleiert wurden .
• Polymarket reagierte mit der Ankündigung, seine Werbemaßnahmen zu überprüfen .

Der WSJ-Bericht enthüllte auch, dass eine Marketing-Agentur namens Virality das Creator-Netzwerk managte und die Ersteller mit 2.000 bis 3.000 US-Dollar pro Monat bezahlte – mit der Auflage, dass mindestens 60 % ihres Publikums aus den USA stammen musste, trotz der regulatorischen Unsicherheit rund um Prognosemärkte .

Wie sich diese Krisen gegenseitig verstärken

Die aufeinanderfolgenden Skandale schaffen eine sich gegenseitig verstärkende Vertrauenskrise in mehreren Dimensionen:

Dimension	Auswirkungen
Sicherheitsvertrauen	Zwei Sicherheitsvorfälle in zwei Monaten – ein interner Wallet-Kompromiss im Mai und ein 3-Millionen-Dollar-Supply-Chain-Hack im Juni – zeigen ein unzureichendes Risikomanagement bei Drittanbietern
Betriebliche Integrität	Der Fake-Video-Skandal zeigt, dass Polymarket die Öffentlichkeit freiwillig über Wettergebnisse getäuscht hat. Nutzer haben nun Grund zu fragen, ob irgendwelche Werbeinhalte – oder sogar Marktdaten – echt sind
Regulatorische Risiken	Die Verbraucherklage, zusammen mit dem Hack, stärkt die Argumente für Regulierungsmaßnahmen. Polymarket stand bereits unter Beobachtung der CFTC und operiert unter einem 1,4-Milliarden-Dollar-Vergleich mit der SEC aus dem Jahr 2024 wegen des Betriebs einer nicht registrierten Börse
Nutzervertrauen	Eine Plattform, die sowohl Gewinnergebnisse fabriziert als auch ihr Frontend nicht gegen eine bekannte Angriffsklasse (Supply-Chain-JS-Injection) sichern kann, gibt Nutzern wenig Grund, ihr echtes Geld anzuvertrauen

Der Zeitpunkt ist entscheidend: Der Hack erfolgte fünf Tage nach der WSJ-Untersuchung. Das bedeutete, dass der Sicherheitsvorfall sofort jene Kritiker bestätigte, die argumentierten, dass die operativen und ethischen Standards von Polymarket gefährlich lax seien. Das Unternehmen steht nun vor einer gleichzeitigen Sicherheits-, Rechts- und Reputationskrise – ohne einen klaren Weg zur Wiederherstellung des Nutzervertrauens.

Breitere Implikationen für Krypto-Plattformen

Der Supply-Chain-Hack von Polymarket ist Teil eines größeren Trends in der Krypto-Sicherheit. Supply-Chain-Angriffe, die auf Drittanbieter abzielen, werden immer häufiger, da sie die starke Sicherheit der Blockchain-Infrastruktur umgehen. Der Angriffsvektor – bösartige JavaScript-Injektion über eine kompromittierte Frontend-Abhängigkeit – ist gut bekannt, aber ohne strenge Anbieterprüfung und Code-Integritätskontrollen nur schwer zu verhindern .

Für Nutzer, die mit einer Krypto-Plattform interagieren, unterstreicht der Polymarket-Vorfall mehrere Lektionen:

• Smart-Contract-Sicherheit allein reicht nicht, wenn Frontend-Abhängigkeiten kompromittiert sind
• Das Risiko von Drittanbietern erfordert eine kontinuierliche Überwachung, nicht nur eine anfängliche Due Diligence
• Mehrere Sicherheitsvorfälle in schneller Folge deuten auf systemische Schwachstellen hin, nicht auf isolierte Fehler

Der Fall Polymarket zeigt auch den Reputationsschaden, der entsteht, wenn Sicherheitsfehler unmittelbar nach der Aufdeckung betrügerischer Marketingpraktiken auftreten. Nutzer könnten sich fragen: Wenn eine Plattform bereit ist, die Öffentlichkeit über Gewinnergebnisse zu täuschen, worüber sonst ist sie bereit zu täuschen?

Polymarket hat sich verpflichtet, alle betroffenen Nutzer zu entschädigen, aber das Unternehmen hat den kompromittierten Anbieter nicht genannt und keine Details dazu gegeben, wie der Vorfall in Zukunft verhindert werden soll . Ohne Transparenz und sinnvolle Sicherheitsverbesserungen wird der Weg zur Wiederherstellung des Nutzervertrauens steinig.