Polymarket-hack van $3 miljoen: aanvallers stalen gebruikersgeld via kwetsbare externe leverancier – en nepwed-schandaal maakt het erger

Op 25 juni 2026 werd Polymarket getroffen door een supply-chain-aanval die ongeveer $3 miljoen aan gebruikersgeld buitmaakte. Het incident vond plaats slechts vijf dagen nadat een onderzoek van de Wall Street Journal uitwees dat het platform makers had betaald om nep-winstvideo's te maken. Deze timing veranderde een ernstig beveiligingsprobleem in een diepe geloofwaardigheidscrisis, die vragen oproept over de operationele integriteit van het platform, het beheer van leveranciers en de bescherming van gebruikers.

Hoe de hack van $3 miljoen plaatsvond

Aanvallers compromitteerden een niet nader genoemde externe leverancier waar Polymarket op vertrouwde voor de frontend van zijn website. Eenmaal binnen injecteerden ze kwaadaardige JavaScript-code in de frontend, die een phishing-achtige aanval uitvoerde op een subset van gebruikers. De kern-smartcontracten en de blockchain-infrastructuur werden niet gecompromitteerd — de inbreuk was puur een frontend-supply-chain-vector .

Belangrijke technische details zijn:

• Doelwit: Het kwaadaardige script was gericht op minder dan 15 accounts, waarbij on-chain data van Bubblemaps aangeeft dat er ten minste 11 wallets zijn leeggehaald .
• Gestolen tegoed: Het gestolen activum was pUSD (Polymarket's bridged USDC op Polygon). De aanvallers verplaatsten het geld van Polygon naar Ethereum en wisselden het om voor ongeveer 1.893 ETH .
• Schatting verlies: Onafhankelijk beveiligingsanalist Specter stelde het bevestigde verlies vast op $2,94 miljoen, terwijl Polymarket en meerdere bronnen het afronden op ongeveer $3 miljoen .

De aanval maakte gebruik van een klassieke zwakte in crypto-platforms: zelfs als de blockchain-smartcontracten veilig zijn, kunnen afhankelijkheden van derden kwetsbaarheden introduceren. Gebruikers die interactie hadden met de legitieme Polymarket-website werden misleid om frauduleuze transacties goed te keuren omdat de kwaadaardige code op het daadwerkelijke domein van het platform draaide .

Veiligheidsmaatregelen die Polymarket nam

De onmiddellijke reactie van Polymarket, aangekondigd op X/Twitter, omvatte:

• Inperking en verwijdering van de gecompromitteerde afhankelijkheid van derden uit de frontend
• Volledige terugbetalingen aan alle getroffen gebruikers — het bedrijf beloofde de slachtoffers volledig schadeloos te stellen
• Een lopend onderzoek, hoewel Polymarket weigerde de betrokken leverancier te noemen

De reactie was snel — het bedrijf ontdekte en bevestigde de inbreuk op dezelfde ochtend dat deze plaatsvond. Dit was echter het tweede beveiligingsincident van Polymarket in minder dan twee maanden. Half mei 2026 leidde een interne wallet-hack tot verliezen van ongeveer $700.000 na een compromittering van een privésleutel . Dat eerdere incident had geen directe gevolgen voor gebruikersgeld, maar wees wel op zwaktes in de operationele beveiliging van Polymarket, die de supply-chain-aanval in juni bevestigde.

Het misleidende marketingschandaal

Slechts enkele dagen voor de hack, op 20 juni 2026, publiceerde de Wall Street Journal een onthullend onderzoek waaruit bleek dat Polymarket makers van sociale media had betaald om video's te produceren die ten onrechte lieten zien dat gebruikers grote sommen geld wonnen op het platform .

Belangrijkste bevindingen uit het WSJ-onderzoek:

• Analisten beoordeelden 1.105 video's over Polymarket op sociale platforms. 778 daarvan toonden neppe weddenschappen op kloonsites — geen enkele gebruikte de echte Polymarket-uitwisseling .
• De video's beweerden gezamenlijk winsten te tonen van in totaal $1,9 miljoen .
• Polymarket voorzag makers van instructiemateriaal over hoe ze de weddenschappen in scène moesten zetten .
• Op 26 juni 2026 — de dag na de hack — diende de National Association of Consumer Advocates een rechtszaak in waarin Polymarket werd beschuldigd van het opzetten van een misleidende marketingcampagne, het betalen voor geheime advertenties, en het agressief targeten van studenten terwijl de kans op verlies werd verborgen .
• Polymarket reageerde door te zeggen dat het zijn promotionele inhoud aan het controleren was .

Het WSJ-rapport beschreef hoe een marketingcontractant, Virality, het netwerk van makers beheerde en makers tussen de $2.000 en $3.000 per maand betaalde — met betalingen afhankelijk van het feit dat ten minste 60% van hun publiek uit de VS afkomstig was, ondanks de onzekerheid over regelgeving rond voorspellingsmarkten .

Hoe deze crises elkaar versterken

De opeenvolgende schandalen creëren een zichzelf versterkende vertrouwenscrisis op verschillende gebieden:

Gebied	Impact
Veiligheidsvertrouwen	Twee inbreuken in twee maanden — een interne wallet-compromis in mei gevolgd door een supply-chain-hack van $3M in juni — wijzen op ontoereikend risicobeheer van externe leveranciers
Operationele integriteit	Het nepvideo-schandaal toont aan dat Polymarket vrijwillig het publiek heeft misleid over wedresultaten. Gebruikers hebben nu reden om te twijfelen of promotionele inhoud — of zelfs marktgegevens — authentiek is
Regelgevingsrisico	De rechtszaak van consumentenadvocaten, gecombineerd met de hack, versterkt de argumenten voor regelgevend optreden. Polymarket stond al onder toezicht van de CFTC en opereert onder een schikking van $1,4 miljard met de SEC uit 2024 voor het exploiteren van een niet-geregistreerde beurs
Gebruikersvertrouwen	Een platform dat zowel winstuitkomsten fabriceert als er niet in slaagt zijn frontend te beveiligen tegen een bekende aanvalsklasse (supply-chain JS-injectie), geeft gebruikers weinig reden om het met echt geld te vertrouwen

De timing is cruciaal: de hack vond plaats vijf dagen na het WSJ-onderzoek, wat betekent dat het beveiligingsfalen onmiddellijk critici gelijk gaf die stelden dat de operationele en ethische normen van Polymarket gevaarlijk laag waren. Het bedrijf staat nu voor een gelijktijdige veiligheids-, juridische en reputatiecrisis zonder duidelijke weg naar herstel van gebruikersvertrouwen.

Brede implicaties voor crypto-platforms

De supply-chain-hack van Polymarket maakt deel uit van een breder patroon in crypto-beveiliging. Supply-chain-aanvallen die zich richten op externe leveranciers komen steeds vaker voor omdat ze de sterke beveiliging van de blockchain-infrastructuur omzeilen. De aanvalsvector — kwaadaardige JavaScript-injectie via een gecompromitteerde frontend-afhankelijkheid — is bekend maar moeilijk te voorkomen zonder grondige controle van leveranciers en code-integriteitscontroles .

Voor gebruikers die met een crypto-platform interacteren, onderstreept het Polymarket-incident verschillende lessen:

• Smart-contractbeveiliging is niet genoeg als frontend-afhankelijkheden worden gecompromitteerd
• Risico van externe leveranciers vereist voortdurende monitoring, niet alleen initiële due diligence
• Meerdere beveiligingsincidenten in korte tijd wijzen op systemische zwaktes, niet op geïsoleerde fouten

De zaak Polymarket benadrukt ook de reputatieschade die volgt wanneer beveiligingsfalen optreden direct nadat misleidende marketing is blootgelegd. Gebruikers kunnen zich afvragen: als een platform bereid is het publiek te misleiden over winstuitkomsten, waarover is het dan nog meer bereid te misleiden?

Polymarket heeft beloofd alle getroffen gebruikers terug te betalen, maar het bedrijf heeft de gecompromitteerde leverancier niet genoemd en geen details gegeven over hoe de inbreuk toekomstige incidenten zal voorkomen . Zonder transparantie en betekenisvolle beveiligingsverbeteringen zal het herwinnen van gebruikersvertrouwen een zware opgave zijn.