- Polymarket-Benutzerkonten-Hack auf Drittanbieter-Authentifizierung zurückgeführt, nicht auf Protokollfehler.
- E-Mail-basierte Wallet-Onboarding ermöglichte das Leeren von Konten ohne Smart-Contract-Exploits.
- Vorfall unterstreicht systemisches Web3-Risiko, da Drittanbieter-Login-Dienste zu Schwachstellen werden.
Polymarket gab an, dass Angreifer eine begrenzte Anzahl von Benutzerkonten leerten, nachdem sie eine Schwachstelle in einem Drittanbieter-Login-Dienst ausgenutzt hatten. Nutzer berichteten von plötzlichen Guthabenverlusten und geschlossenen Positionen nach mehreren Anmeldeversuchen. Polymarket bestätigte den Vorfall am 24. Dezember 2025 und erklärte, das Problem behoben zu haben.
Berichte tauchten am 22. und 23. Dezember 2025 auf X, Reddit und Discord auf. Ein Reddit-Nutzer berichtete von drei Anmeldeversuchen, gefolgt von einem Guthaben von $0,01. Ein anderer Nutzer berichtete von ähnlichen Vorfällen und sagte, dass die Zwei-Faktor-Authentifizierung per E-Mail das Leeren nicht verhindern konnte.
Drittanbieter-Authentifizierung macht Onboarding zu einer gemeinsamen Schwachstelle
Polymarket erklärte, dass ein Drittanbieter-Authentifizierungsanbieter die Schwachstelle eingeführt habe. Das Unternehmen postete in seinem offiziellen Discord-Kanal, dass es das Problem identifiziert und gelöst habe. Polymarket beschrieb den Vorfall als einen, der nur eine kleine Anzahl von Nutzern betraf.
Polymarket nannte den Drittanbieter nicht und machte keine Angaben zu den gestohlenen Gesamtsummen. Die Plattform erklärte jedoch, dass ihr zentrales Protokoll weiterhin sicher sei und das Problem auf die Authentifizierung beschränkt blieb. Außerdem wurde erklärt, dass die Behebung das anhaltende Risiko entfernt habe und betroffene Nutzer kontaktiert würden.
Diese Darstellung lenkt die Aufmerksamkeit weg von den Marktmechanismen und hin zum Krypto-Onboarding-Stack. Viele Plattformen verlassen sich für schnellere Anmeldungen auf externe Identitäts-, Wallet- und Login-Dienste. Folglich kann eine Schwäche bei einem Anbieter Nutzer über mehrere Apps hinweg gefährden.
E-Mail-Wallet-Logins erhöhen Risiken beim Zugriff auf eingebettete Wallets
Nutzerbeiträge deuteten darauf hin, dass viele betroffene Konten E-Mail-basierte „Magic Link“-Zugänge anstelle direkter Wallet-Verbindungen nutzten. Mehrere Berichte verwiesen auf Magic Labs als einen gängigen Anmeldeweg, obwohl Polymarket diese Verbindung nicht bestätigt hat. Nutzer gaben außerdem an, vor den Abflüssen keine verdächtigen Links angeklickt zu haben.
E-Mail-basierte Wallet-Anbieter erstellen bei der Anmeldung häufig nicht-verwahrte Ethereum-Wallets. Dieses Setup spricht vor allem neue Krypto-Nutzer an, die keine Erweiterungen oder Seed-Phrasen verwalten. Dennoch kontrolliert der Anbieter weiterhin wichtige Teile des Login- und Wiederherstellungsprozesses.
Polymarket-Nutzer beschrieben, wie USDC-Guthaben ohne klare Genehmigungssignale abflossen. Die Berichte beschrieben auch, dass Positionen schnell nach dem unautorisierten Zugriff geschlossen wurden. Der Vorfall zeigt somit, wie die Kontosicherheit oberhalb der Smart-Contract-Ebene scheitern kann.
Verwandt: Polymarket führt Krypto-Protokolle bei der Nutzerbindungsrate an
Frühere Polymarket-Vorfälle zeigen Belastung der Zugangsebene
Dieser Vorfall erinnert an frühere Nutzerberichte aus dem September 2024, die Google-basierte Logins betrafen. Nutzer beschrieben Wallet-Abflüsse, bei denen Angreifer „Proxy“-Funktionsaufrufe verwendeten. Laut Nutzerberichten wurden dadurch USDC-Gelder an Phishing-Adressen verschoben.
Polymarket behandelte die Ereignisse damals als potenziell gezielte Angriffe im Zusammenhang mit Drittanbieter-Authentifizierung. Diese Historie ist relevant, da sie auf dasselbe strukturelle Risiko hinweist. Authentifizierungs- und Sitzungssysteme können zu Zielen mit hoher Auswirkung werden.
Eine separate Bedrohung tauchte im November 2025 auf, als Betrüger die Kommentarsektionen von Polymarket ausnutzten. Nutzer berichteten von Verlusten von über $500.000, nachdem Angreifer getarnte Links gepostet hatten. Diese Links führten die Opfer auf betrügerische Seiten, die E-Mail-Logins abfingen.
Der Vorfall im Dezember 2025 konzentriert sich erneut auf Integrationsrisiken und nicht auf Abwicklungsfehler. Polymarket hat weder eine technische Nachanalyse noch einen vollständigen Zeitplan des Vorfalls veröffentlicht. Es wurde auch nicht mitgeteilt, ob Nutzer für Verluste entschädigt werden.
Inzwischen haben Nutzer Anmeldemethoden verglichen und Wallet-Adressen in öffentlichen Threads geteilt. Einige Nutzer sind für höhere Guthaben zu direkten Wallet-Verbindungen übergegangen. Der Vorfall unterstreicht eine breitere Erkenntnis für das Krypto-Onboarding: Drittanbieter-Identitäts- und Wallet-Infrastrukturen sind nun ein kritischer Pfad und können somit zum fragilsten Punkt des Ökosystems werden.
