Polymarket, eine kryptobasierte Plattform für Prognosemärkte, hat einen Sicherheitsvorfall bestätigt, bei dem Angreifer Nutzer über die Kompromittierung eines externen Dienstleisters ins Visier nahmen. Das Unternehmen teilte mit, man habe am Donnerstagmorgen festgestellt, dass ein Drittanbieter kompromittiert worden sei und für einige Nutzer ein schädliches Skript in das Frontend eingeschleust habe.
Nach Angaben von Polymarket wurde der Vorfall eingedämmt und die betroffene Abhängigkeit entfernt. Betroffene Nutzer sollen kontaktiert und vollständig entschädigt werden. Weitere Einzelheiten nannte das Unternehmen zunächst nicht. Insbesondere blieb offen, wie viele Konten betroffen waren und in welcher Höhe Kryptowährungen abflossen.
Eine genauere Schätzung kommt von PeckShield. Das Blockchain-Sicherheitsunternehmen berichtete, dass über eine Phishing-Kampagne pUSD im Wert von ungefähr 3 Millionen US-Dollar gestohlen worden seien. pUSD ist die mit USDC besicherte Handelswährung von Polymarket.
PeckShield zufolge überführte der Angreifer die entwendeten Gelder von Polygon zu Ethereum und tauschte sie anschließend in rund 1.893 ETH um. Ein Blockchain-Analyst bestätigte dem Bericht zufolge, dass sich die Verluste auf nahezu 3 Millionen US-Dollar summieren und mindestens 11 Opfer betroffen seien.
Wer hinter dem Angriff steckt, ist bislang unklar. Auch Polymarket selbst hat die von PeckShield genannte Schadenshöhe und die Zahl der betroffenen Nutzer in dem Bericht noch nicht bestätigt.
SecurityWeek erklärte, das Unternehmen um eine Bestätigung zur gestohlenen Summe und zur Zahl der betroffenen Nutzer gebeten zu haben. Der Bericht sollte aktualisiert werden, falls Polymarket darauf reagiert.