Polymarket erleidet Wallet-Diebstahl – 700.000 US-Dollar durch
Ein sechs Jahre alter privater Key gab einem Angreifer Zugriff auf das Rewards-Wallet der Prognoseplattform. Nutzergelder und Märkte blieben unberührt.
Veröffentlicht
23. Mai 2026
Ein kompromittierter privater Schlüssel, der vor sechs Jahren erstellt wurde, hat einem Angreifer Zugriff auf das interne Rewards-Wallet der Prognoseplattform Polymarket verschafft. Die Beute: rund 700.000 US-Dollar, verteilt auf 16 Adressen. Die Plattform betont, dass weder Nutzereinlagen noch Marktergebnisse betroffen waren. Es sei, als hätte jemand einen alten Ersatzschlüssel zum Büromaterialschrank gefunden – nicht zum Tresor, aber die Ausbeute war dennoch ordentlich.
Wie der Abfluss ablief
Zunächst fielen die verdächtigen Transaktionen den On-Chain-Ermittlern ZachXBT und Bubblemaps auf. Ihre ersten Schätzungen lagen bei rund 520.000 US-Dollar, doch mit der Zeit stieg die Summe. Der Angreifer handelte methodisch: Er zog anfangs alle 30 Sekunden 5.000 POL-Token ab – ein klares Zeichen für Automatisierung, nicht für hektisches Klicken.
Das betroffene Wallet war eine alte Administrationsadresse, die speziell für die Verteilung von Nutzerbelohnungen genutzt wurde. Es handelte sich um ein Top-up-Wallet für Werbeanreize, nicht um ein Aufbewahrungsort für Händlersicherheiten oder Marktabrechnungen.
Die Bemühungen, Vermögenswerte einzufrieren, zeigten nur teilweise Erfolg: Rund 164.000 US-Dollar eines 573.000-Dollar-Teils wurden gesichert. Der Großteil des gestohlenen Geldes war bereits über Börsen und Mischdienste gewaschen, bevor Maßnahmen ergriffen werden konnten.
Der private Schlüssel war sechs Jahre alt – in der Krypto-Infrastruktur etwa so, als würde man die Sicherheitssysteme einer Bank auf Windows XP betreiben. Das Alter des Schlüssels verweist auf eine vermeidbare Schwachstelle: Organisationen wachsen über ihre frühen Sicherheitspraktiken hinaus, vergessen aber, die alten Zugänge zu deaktivieren.
Polymarkets Reaktion und was sicher blieb
Das Entwicklungsteam von Polymarket beruhigte die Nutzer umgehend: Nutzergelder, Smart Contracts und Handelssysteme seien nicht betroffen. Die Kernfunktionen der Plattform – Markterstellung, Handel und Abwicklung – liefen ohne Unterbrechung weiter. Der Einbruch beschränkte sich allein auf das Rewards-Wallet. Marktergebnisse wurden nicht manipuliert. Keine Nutzerkonten wurden angetastet.
Diese Unterscheidung ist entscheidend. Polymarket hat sich zu einem der bekanntesten Prognosemärkte im Krypto-Bereich entwickelt, der besonders bei politischen Ereignissen und großen Nachrichtenzyklen Aufmerksamkeit erregt. Ein Einbruch, der Nutzergelder oder die Marktintegrität gefährdet hätte, wäre eine grundlegend andere Geschichte – eine, die das Vertrauensmodell dezentraler Prognosemärkte erschüttern könnte.
Das Unternehmen führt eine gründliche Untersuchung durch. Ob diese veröffentlicht wird und transparent macht, wie der Schlüssel aufbewahrt wurde, wer Zugang hatte und welche Rotationspolitik (oder deren Fehlen) galt, bleibt abzuwarten.
Ein vertrautes Muster in der Krypto-Sicherheit
Dies ist nicht das erste Mal, dass ein alter Admin-Schlüssel die Schwachstelle war. Die Krypto-Industrie hat ein wiederkehrendes Problem mit alter Infrastruktur. Projekte starten mit einem kleinen Team, erstellen Schlüssel für verschiedene operative Wallets und skalieren dann schnell, ohne diese frühen Zugangsdaten zu überprüfen.
Der Angriffsvektor war weder ein Smart-Contract-Bug, ein Flash-Loan-Exploit noch eine ausgeklügelte DeFi-Manipulation. Es war ein privater Schlüssel, der vor Jahren hätte rotiert oder stillgelegt werden müssen. Die einfachsten Exploits sind oft die schädlichsten, gerade weil niemand daran denkt, sie zu überprüfen.
Ähnliche Vorfälle haben in der Vergangenheit andere Projekte getroffen. Hot Wallets, Admin-Keys und Deployment-Adressen aus den frühesten Tagen eines Projekts stellen eine dauerhafte Angriffsfläche dar. Ist ein privater Schlüssel einmal kompromittiert – durch Phishing, Malware oder einen Insider – gibt es keinen On-Chain-Mechanismus, der den Inhaber an der Ausführung von Transaktionen hindert.
Multisignatur-Wallets, Hardware-Sicherheitsmodule und regelmäßige Schlüsselrotation sind alles Standardmaßnahmen. Die Tatsache, dass ein sechs Jahre alter einzelner Schlüssel noch Autorität über ein finanziertes Wallet hatte, deutet darauf hin, dass mindestens eine dieser Praktiken für diese Adresse nicht umgesetzt war.
Was dies für Anleger bedeutet
Der Verlust von 700.000 US-Dollar ist im Vergleich zu anderen Krypto-Exploits bescheiden. Doch der Reputationsschaden kann die Dollarzahl übersteigen – besonders für eine Plattform, die auf Nutzervertrauen angewiesen ist.
Prognosemärkte sind inhärent vertrauensabhängig. Nutzer setzen echtes Geld auf Ergebnisse und müssen darauf vertrauen können, dass die Plattform, die ihre Gelder verwaltet und ihre Wetten abrechnet, betriebssicher ist. Selbst ein auf ein Rewards-Wallet beschränkter Einbruch weckt Zweifel an anderen, möglicherweise noch vorhandenen Altsystemen.
Für aktive Händler auf Polymarket scheint das unmittelbare Risiko begrenzt. Nutzergelder wurden nicht kompromittiert, und die Smart Contracts der Plattform waren nicht betroffen. Die operative Infrastruktur für Einzahlungen, Abhebungen und Marktabrechnungen scheint völlig getrennt von dem angegriffenen Wallet gewesen zu sein.
Das größere Problem ist systemischer Natur. Wenn Polymarket, eine der bekanntesten und kapitalkräftigsten Prognoseplattformen, einen sechs Jahre alten Schlüssel mit aktivem Zugang zu Geldern betrieb, wie sieht dann die Schlüsselverwaltung bei kleineren, schlechter ausgestatteten Projekten aus? Dieser Vorfall sollte Nutzer dazu veranlassen, härtere Fragen zur Betriebssicherheit jeder Plattform zu stellen, auf der sie Gelder parken – nicht nur zu den Smart-Contract-Audits.
Wettbewerber könnten diesen Moment nutzen, um sich durch bessere Sicherheitspraktiken abzuheben. Transparente Schlüsselrotationspolitiken, Multisig-Anforderungen für alle operativen Wallets und regelmäßige externe Sicherheitsaudits könnten zur Grundausstattung für Plattformen werden, die ernsthafte Volumina anziehen wollen.
Für den Moment sind die gestohlenen Gelder, die durch Mischdienste und Börsen gelangt sind, praktisch verschwunden. Ob Strafverfolgungsbehörden oder On-Chain-Forensik die verbleibenden Gelder einer identifizierbaren Partei zuordnen können, bleibt offen – aber die Chancen sinken mit jedem Schritt durch einen Mischdienst.
Für Anleger hierzulande bleibt die steuerliche Einordnung solcher Vorfälle relevant. Verluste aus Krypto-Delikten können unter Umständen als Veräußerungsverluste oder Betriebsausgaben geltend gemacht werden. Die genaue Dokumentation und rechtzeitige Meldung sind entscheidend.