Sicherheitsvorfall bei Polymarketdent zum Verlust von Polygon-Token im Wert von 520.000 US-Dollar

Bei einem Sicherheitsvorfall bei Polymarketdent am 22. Mai 2026 mehr als 520.000 US-Dollar an Sicherheiten aus dem UMA CTF Adapter-tracder Plattform auf Polygon abgezogen.

Der On-Chain-Ermittler ZachXBT meldete den Vorfalldent einer Community-Warnung und wies auf eine kompromittierte Deployer-Adresse als wahrscheinlichen Ausgangspunkt des Angriffs hin. Der Datenabfluss erfolgte innerhalb eines kurzen Zeitfensters um 9:00 Uhr UTC.

keine offizielle Mitteilung von Polymarket Zum Zeitpunkt der Berichterstattung lag noch

Wie verlief der Polymarket-Abfluss?

Der Hack zielte auf den Polymarket UMA CTF Adapter Admintracunter der Adresse 0x91430C…E5c5 ab. Dieser ist ein aktualisierbarer Proxy, der den Hauptadapter verwaltet, auf dem die Marktsicherheiten verwahrt werden. Die Blockchain zeigt die ersten Ereignisse, die auf dem Admintracaufgezeichnet wurden, gegen 09:00:30 UTC. Dies sollte auf eine mögliche Ausnutzung eines Proxy-Musters hindeuten.

Auf die ersten Ereignisse folgten rasch Überweisungen der nativen Währung von Polygon, POL. Um 09:00:49 Uhr empfing der Adapter-Administrator 5.000 POL von einer Polymarket-Adresse. Fünf Sekunden später überwies er knapp 9.994 POL an das vom Angreifer kontrollierte Konto. Dieses Muster wiederholte sich um 09:01:19 Uhr mit einem weiteren Zufluss von 5.000 POL, gefolgt von einer Überweisung von knapp 5.000 POL an dieselbe Angreiferadresse um 09:01:26 Uhr.

Der zweistufige Transfer transferierte in weniger als einer Minute über 10.000 POL aus dem Adapter. Die von ZachXBT aufgelisteten Adressen 0x871D7c0f und 0xf61e39C7 hatten Sicherheiten in den Adapter eingezahlt, die der Angreifer anschließend über dentracabhob. Die primäre Angreiferadresse empfing die POL-Transfers und begann kurz darauf mit der Konsolidierung der Gelder.

Ein kompromittierter Schlüssel, kein Fehler in einem Smarttrac

Die Kette der Initialisierungsaufrufe an dentracverdeutlicht somit eher das Risiko von Schlüsseldiebstahl und Initialisierungsschwachstellen als etwaige Probleme mit der optimistischen Orakellogik des UMA-Vertrags. Dertracbasierte zwar auf dem UMA-Orakel, der Sicherheitsverstoß erfolgte jedoch auf der Zugriffskontrollebene, wodurch der Angreifer Zugriff auf ausschließlich administrative Funktionen erlangte.

Es ist anzunehmen, dass der Bereitstellungsprozess entweder mithilfe eines von Angreifern kompromittierten Schlüssels erfolgte oder ein nicht initialisiertertraczur Ausnutzung zur Verfügung stand. Nach Erhalt von Administratorrechten konnte der Hacker das gesamte hinterlegte Guthaben ohne die Notwendigkeit spezieller Exploits abheben.

Der Polymarket-Hack ähnelt ähnlichen Vorfällen, die Anfang 2026 gemeldet wurden. So ereignete sich beispielsweise der Step-Finance-Hack mit einem Schaden von rund 27,3 Millionen US-Dollar Anfang 2026 aufgrund einer Verletzung des Executive Keys und des Multi-Signatur-Mechanismus.

Ein ähnlicher Fall ist der Hack des Drift-Protokolls wiesen keine Software-Schwachstellen auftrac.

Aktivitäten und tracder Angreifer-Wallet

Die Adresse 0x8F98075d sollte als höchst verdächtig eingestuft werden, da sie das Ziel beider POL-Sicherheitstransfers war und die größte Möglichkeit für die Bewegung gestohlener Werte aus oder in das Polygon-Netzwerk darstellt.

In ähnlicher Weise kann davon ausgegangen werden, dass die Zwischenadresse, die bei der Initialisierung von Aufrufen 0x65070BE9 verwendet wird, von Angreifern kontrolliert wird und daher einer ähnlichen Überwachung bedarf.

Aufgrund bisheriger Erfahrungen ist es möglich, dass der nächste Schritt Cross-Chain-Bridges und Mixing beinhaltet. Im Fall von Driftwurden die gestohlenen Gelder vor der Geldwäsche teilweise über das Cross-Chain-Protokoll von Circle auf Ethereum . Zum Zeitpunkt der Meldung gab es keine Berichte über größere ausgehende Bridges von den verdächtigen Adressen.