Der Prognosemarkt Polymarket erlitt laut Alarm des On-Chain-Investigators ZachXBT einen Exploit über den UMA-CTF-Adapter-Smart-Contract. Insgesamt flossen über 520'000 USD ab, der Vorfall war zum Zeitpunkt der ersten Meldungen noch aktiv.
Polymarket ist die dezentralisierte Prediction-Market-Plattform auf Polygon, auf der Nutzer mit USDC auf den Ausgang realer Ereignisse setzen. Der UMA CTF Adapter wiederum ist der On-Chain-Brückenvertrag zwischen dem Gnosis Conditional Token Framework, der Grundlage aller Polymarket-Märkte, und dem UMA Optimistic Oracle, das die Marktergebnisse verifiziert. ZachXBT publizierte den Alarm heute Morgen; Polymarket und UMA Protocol haben zum Zeitpunkt der Veröffentlichung dieses Artikels noch keine offizielle Stellungnahme abgegeben.
Update 22.05.2026 11:52 CET: Ein X-Account des Polymarket-Teams hat den Angriff nun öffentlich kommentiert. Gemäss den ersten Erkenntnissen sei ein Private Key einer Wallet kompromittiert worden. Die Smart Contracts und Kerninfrastruktur seien sicher.
Drei Adressen als Polymarket-Angreifer identifiziert
Ausgangspunkt der öffentlichen Beobachtung war der ZachXBT-Alarm. Die zentrale Exploiter-Adresse 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91 ist auf dem Blockexplorer PolygonScan inzwischen als „Polymarket Adapter Exploiter 1" gelabelt und weist 194 Transaktionen aus. Zudem ordnet PolygonScan den Vertrag 0x91430CaD2d3975766499717fA0D66A78D814E5c5 mit insgesamt 905'419 Transaktionen explizit dem „Polymarket: UMA CTF Adapter Admin" zu, aus dem die Mittel abflossen.
Die Exploiter-1-Adresse empfing zunächst grössere Polygon (POL) Beträge aus dem Adapter-Admin-Vertrag und leitete diese an mindestens zwei weitere Adressen weiter. Konkret erhielt Exploiter 2 rund 119'954 POL, Exploiter 3 etwa 105'000 POL. Ferner tauchen zwei weitere Drain-Adressen im Alarm auf: 0x871D7c0f9E19001fC01E04e6cdFa7fA20f929082 sowie 0xf61e39C7EB1E2Ff5af3A24bCA88D40fD11594805. Auffällig ist, dass die abgezogenen Mittel primär in POL und nicht in USDC vorliegen, weshalb die genannten 520'000 USD lediglich eine Kursumrechnung darstellen.
Allerdings bleibt der Endbetrag offen, denn der Vorfall war zum Recherchezeitpunkt noch aktiv. Die letzte PolygonScan-Aktivität der Exploiter-Adresse lag laut Block-Explorer wenige Minuten vor der Recherche. Weder Polymarket noch UMA Protocol haben sich bislang öffentlich geäussert. Ebenfalls offen blieb eine unabhängige Bestätigung durch etablierte Forensik-Häuser wie PeckShield oder BlockSec.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
UMA CTF Adapter als technische Schnittstelle zwischen Oracle und Prediction Market
Der UMA CTF Adapter erfüllt eine schmale, aber kritische Funktion. Er verbindet das Gnosis Conditional Token Framework, das ERC-1155-Outcome-Tokens für jeden Polymarket-Markt prägt, mit dem UMA Optimistic Oracle. Zunächst speichert der Vertrag bei der Marktinitialisierung Ancillary Data, Timestamps und Reward-Token, danach sendet er eine Anfrage an das Oracle. Proposer können Antworten einreichen und müssen dafür einen Bond hinterlegen; wird die Antwort innerhalb von rund zwei Stunden nicht angefochten, gilt sie ebenfalls als korrekt. Bei einem zweiten Dispute eskaliert die Anfrage somit an UMAs Data Verification Mechanism, der innerhalb von 48 bis 72 Stunden entscheidet. Bei der Marktauflösung verbrennt der Adapter schliesslich die ERC-1155-Tokens und gibt das USDC.e-Kollateral an die Berechtigten zurück.
Welchen genauen Angriffs-Vektor die Exploiter nutzten, ist bislang nicht öffentlich. Die On-Chain-Daten zeigen direkte Mittelabflüsse aus dem Admin-Vertrag, jedoch kein typisches Muster einer Oracle-Manipulation wie etwa eine fragwürdige Proposer-Antwort kurz vor Marktauflösung. Folglich richtet sich der Verdacht primär auf eine Smart-Contract- oder Access-Control-Schwäche im Adapter selbst, was zum Recherchezeitpunkt allerdings nicht bestätigt war.
Ursprünglich existierten mehrere Adapter-Versionen, die auf PolygonScan weiterhin sichtbar sind. Mit dem CLOB-v2-Upgrade vom April 2026 führte Polymarket zudem neue Smart Contracts und pUSD als Kollateral ein, womit der Stablecoin USDC.e in den neuen Märkten schrittweise abgelöst wird. Ob der exploitete Adapter eine ältere Version betrifft oder eine, die noch aktiv laufende Märkte bedient, ist gegenwärtig offen.
Polymarket Exploit trifft erstmals den Core-Contract
Polymarket hat eine breite Historie sicherheitsrelevanter Vorfälle, die jedoch sämtlich die Peripherie betrafen. Im September 2024 verloren Nutzer über 500'000 USD durch eine Phishing-Kampagne, die über den Login-Pfad eines Drittanbieters lief. Später, im Dezember 2024, wurde der Authentifizierungsdienst Magic Labs kompromittiert; Konten wurden trotz Zwei-Faktor-Schutz geleert, die Smart Contracts selbst blieben unangetastet. Im März 2025 manipulierte ein Akteur mit 25% der UMA-Stimmrechte einen 7-Mio.-USD-Markt zum Ukraine-Mineralienabkommen, was eine wirtschaftliche Anreizschwäche aufzeigte, jedoch keine technische Lücke. Darauf im Februar 2026 nutzten Angreifer ferner eine Off-Chain/On-Chain-Synchronisations-Schwäche, um Trades zu invalidieren, was vor allem Trading-Bots traf. Im April 2026 schliesslich behauptete der Akteur „xorcat" den Diebstahl von 300'000 Datensätzen samt eines Exploit-Kits inklusive CVE-2025-62718 mit einem CVSS-Score von 9.9.
Der gemeinsame Nenner dieser Vorfälle lag stets in Auth-Provider, Off-Chain-Infrastruktur, Governance-Ebene oder Datenschutz-Schicht. Der aktuelle Vorfall hingegen zielt unmittelbar auf den Core-Smart-Contract. Falls bestätigt, wäre dies somit eine qualitativ andere Kategorie, und sie trifft die Plattform in einem ökonomischen Höchststand: das Q1-2026-Handelsvolumen erreichte 26.2 Mrd. USD, der März lag erstmals über 10 Mrd. USD in einem einzelnen Monat, und im April liefen täglich rund 291'000 Transaktionen über die Plattform. Hinzu kommen ein TVL von 514 Mio. USD nach dem CLOB-v2-Rollout sowie die ICE/NYSE-Investition mit einer Bewertung von 8 Mrd. USD.
