Polymarket hat Behauptungen über einen massiven Datendiebstahl durch einen Darknet-Händler als „Unsinn“ zurückgewiesen. Der Angreifer, der unter dem Pseudonym „xorcat“ auftritt, behauptete, eine Datenbank mit über 300.000 Datensätzen sowie ein Exploit-Kit mit rund 1 GB an Datensätzen (Namen, Pseudonyme und Wallet-Adressen) veröffentlicht zu haben.
Der Angreifer, der die Veröffentlichung von Polymarket-Daten in einem bekannten Cyberkriminalitätsforum bekanntgab, erklärte, die Daten seien über undokumentierte API-Endpunkte, eine Umgehung der Paginierung und eine CORS-Fehlkonfiguration in den Gamma- und CLOB-APIs von Polymarkettracworden. Das Paket enthielt außerdem ein Skript zum automatischen Auslesen der Daten sowie funktionierende Proof-of-Concepts für mehrere CVEs.
Die abgerufenen Daten umfassten insbesondere 10.000 eindeutige Benutzerprofile mit vollständigen personenbezogenen Daten (Name, Pseudonym, Biografie, Profilbild, Proxy-Wallet und Basisadresse) sowie über 4.111 Kommentare mit zugehörigen Profilobjekten.
Der Angreifer stellte außerdem Proof-of-Concept-Skripte zur Verfügung und behauptete, die Daten enthielten 1.000 Berichtsdatensätze mit 58 eindeutigen ETH-Adressen und einem admin_auth_addr-Indikator sowie über 48.000 Gamma-Märkte mit vollständigen Metadaten, Bedingungs-IDs und Token-IDs.
Darüber hinaus gab es über 250.000 aktive CLOB-Märkte mit FPMM-Adressen und über 292 Ereignisse mit Einreicher-/Auflöser-ETH-Adressen und internen Benutzernamen. Das Leck enthielt außerdem 100 Belohnungskonfigurationen mit USDC-tracund Tagesraten, 9.000 Follower-Profile (mit Namen, Pseudonymen und Proxy-Wallets) sowie interne Benutzer-IDs, die in den Feldern „createdBy“ und „updatedBy“ offengelegt wurden.
Der Sicherheitsverstoß bei Polymarket stellt eine nationale Sicherheitsbedrohung dar
Polymarket steht im Zentrum eines schwerwiegenden Integritätsskandals, der eine andere Art von Sicherheitslücke darstellt – nämlich die Gefährdung der nationalen Sicherheit. Das US-Justizministerium und die CFTC nutzen den jüngsten Vorfall als Paradebeispiel dafür, warum Prognosemärkte können, bieten um Profit zu erzielen. Dadurch werden Händler – darunter auch hochrangige Politiker – gezielten Phishing-Angriffen und Belästigungen ausgesetzt.
Diese Vorfälle reihen sich in eine Reihe bestätigter Cybersicherheitslücken ein, die das Vertrauen der Nutzer in den letzten sechs Monaten erschüttert haben. Angreifer nutzten eine Designschwäche im Ordersystem von Polymarket aus und erzeugten sogenannte Nonces, um On-Chain-Transaktionen zu stornieren, während Off-Chain-Aufzeichnungen gültig blieben. Dies führte zu massiven Verlusten für Bots aufgrund fehlerhafter API-Meldungen.
Polymarket bestätigte zudem einen weiteren Sicherheitsverstoß bei der Authentifizierung durch einen Drittanbieter im Dezember 2025. Dieser Verstoß war auf eine Schwachstelle in einem Login-Tool eines Drittanbieters (vermutlich Magic Labs) zurückzuführen, die es Angreifern ermöglichte, selbst von Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) Gelder abzuheben. Ein weiterer Phishing-Angriff im November 2025 auf den Kommentarbereich von Polymarket führte zu Verlusten von über 500.000 US-Dollar für die Nutzer.
Mit dem Wachstum des Prognosemarktes gehen die Regulierungsbehörden zu einem aktiven Verbot über
Angesichts des wachsenden Marktvolumens für Prognosen gehen die Regulierungsbehörden von passiver Beobachtung zu aktivem Verbot über. Die brasilianische Regierung blockierte im April 2026 27 Plattformen (darunter Kalshi und Polymarket) mit der Begründung, die Verschuldung privater Haushalte und der Verbraucherschutz seien gefährdet.
Die Behörden in Rumänien und Portugal haben kürzlich ebenfalls bestimmte politischetracblockiert, um Spekulationswetten auf Wahlen zu verhindern.
Unterdessen hat Polymarket mit Wirkung zum März 2026 strengere interne Regeln eingeführt. Diese verbieten ausdrücklich den Handel mit gestohlenen Informationen oder Insiderwissen über geopolitische Ereignisse. Polymarket schloss zudem eine Vereinbarung über Regulierungsdienstleistungen mit der National Futures Association (NFA) ab, um Echtzeitüberwachung zu implementieren. Dieser Schritt signalisiert eine Hinwendung zu gängigen Finanzmarktregulierungsstandards.
Die Aufsichtsbehörden haben auch hochkarätige Transaktionen genau untersucht, wie beispielsweise die Wette über 32.000 US-Dollar auf die Festnahme von Nicolás Maduro, die kurz vor Bekanntwerden der offiziellen Nachricht im Januar 2026 einen Gewinn von 436.000 US-Dollar einbrachte. Das Weiße Haus und verschiedene Behörden haben seither vor dem Handel mit nicht-öffentlichen Informationen im Zusammenhang mit geopolitischen Konflikten, wie dem Krieg zwischen den USA und dem Iran, gewarnt.
Der Bernstein-Analyst Gautam Chhugani hingegen erwartet, dass eine höhere regulatorische Klarheit auf Bundesebene das Wachstum von Prognosemärkten ankurbeln wird. Er schätzt, dass das Gesamtvolumen der Prognosemärkte im Jahr 2026 240 Milliarden US-Dollar erreichen wird (+370 % gegenüber dem Vorjahr).
Chhugani prognostiziert außerdem, dass das Handelsvolumen des Prognosemarktes bis zum Beginn des nächsten Jahrzehnts 1 Billion US-Dollar pro Jahr erreichen wird, mit einer durchschnittlichen jährlichen Wachstumsrate von rund 80 % zwischen 2025 und 2030. Auch die Zusammensetzung der gehandeltentracdürfte sich verändern.
