Polymarket räumt ein, dass Benutzergelder gestohlen wurden und „One-Click-Login“-Dienste von Drittanbietern zu einer Schwachstelle geworden sind

Polymarket berichtete, dass an Heiligabend Gelder gestohlen wurden. Die Schwachstelle stammt vom Drittanbieter-Wallet-Dienst Magic Labs und verdeutlicht den einzigen Risikopunkt hinter der Bequemlichkeit von Web3.
(Vorläufiges Briefing: Polymarket, der Marktführer im Prognosemarkt, kündigte an, dass es ein eigenes L2 bauen wird. Ist der Trumpf von Polygon verschwunden?)
(Hintergrundbeilage: Wie kann man durch Polymarket-Arbitrage ein jährliches Einkommen von 40 % erzielen? )

Polymarket, der Marktführer im Krypto-Prognosemarkt, berichtete, dass Gelder gestohlen wurden und viele Benutzer wütend auf X und Reddit waren am frühen Morgen des 24. Dezember, dass „der Kontostand geleert wurde“.

Die Plattform gab die Sicherheitslücke im offiziellen Discord sofort zu und verwies auf einen „Drittanbieter“. Das On-Chain-Tracking-Tool Lookonchain nahm daraufhin den Wallet-Dienstleister Magic Labs ins Visier und machte diesen Vorfall zum größten Sicherheitsverstoß auf dem Kryptomarkt Ende 2025.

Offiziell hieß es, das Problem sei behoben, aber einige Leute sind immer noch besorgt

Weniger als eine Stunde, nachdem der Benutzer die Nachricht verbreitete, gab Polymarket eine Ankündigung heraus:

Wir haben eine Schwachstelle im Zusammenhang mit einem Drittanbieter gefunden, die behoben wurde. Nur eine sehr kleine Anzahl von Benutzern ist betroffen und wir werden diese Benutzer proaktiv kontaktieren.

In der Ankündigung wurden weder die Höhe der Verluste noch die Zahl der Opfer bekannt gegeben, sie löste jedoch größere Panik aus. Laut dem einmonatigen Transaktionsvolumen der Polymarket-Plattform im Jahr 2025 wird es jeden Monat schätzungsweise Milliarden von Dollar betragen. Schon eine „sehr kleine Zahl“ kann zu hohen Verlusten führen.

Anders als bei herkömmlichen Phishing-Angriffen waren zum Zeitpunkt des Vorfalls keine verdächtigen Links im Umlauf und viele Opfer aktivierten sogar E-Mail-2FA. Der Schlüssel zur Umgehung der Verteidigungslinie liegt nicht auf der Benutzerseite, sondern in der Authentifizierung durch Dritte im Hintergrund.

Der Anmeldemechanismus von Magic Labs ist zu einer Lücke geworden.

Um die Schwelle zu senken, hat Polymarket die „E-Mail-One-Click-Non-Custodial-Wallet-Generierung“ von Magic Labs eingeführt. Benutzer müssen sich die mnemonischen Wörter nicht merken und können Ethereum-Assets verwalten, indem sie Verifizierungscodes senden. Allerdings nutzt der Angreifer direkt die Systemschwachstelle in der Authentifizierungsschicht von Magic Labs aus, um die Kontrolle über die Wallet zu erlangen, und 2FA ist gleichbedeutend mit ungültig.

Der aktuelle Fluss in der Kette zeigt, dass die Hackeradresse die Vermögenswerte in kurzer Zeit aufgeteilt und die Münzen über mehrere Schichten hinweg vermischt hat, was die Rückverfolgung erschwert. Obwohl der Beamte sagte, es sei „repariert worden“, hat er noch nicht auf die Bitte der Gemeinde um einen vollständigen Bericht nach dem Vorfall reagiert.

Gleichzeitig warnte das Sicherheitsunternehmen SlowMist GitHub vor dem Aufkommen bösartiger Polymarket-Kopierroboter, die speziell auf fortgeschrittene Spieler abzielen, die ihre eigenen Handelsskripte erstellen. Dieses Programm liest die lokale Konfigurationsdatei und sendet heimlich den privaten Schlüssel. Obwohl es nicht direkt mit der Magic Labs-Schwachstelle zusammenhängt, brach es noch am selben Tag aus.