Een phishingaanval op de frontend van Polymarket heeft een van de meest hardnekkige kwetsbaarheden in gedecentraliseerde financiën blootgelegd: de toeleveringsketen. Wanneer aanvallers geen smart contracts van een protocol hoeven te kraken om miljoenen weg te sluizen, hoeven ze alleen maar een derde partij leverancier te compromitteren die stilletjes op de achtergrond van de code van een populair platform draait.
Summary
Belangrijkste punten
- Een gecompromitteerde derde partij leverancier injecteerde kwaadaardige code in de frontend van Polymarket, waardoor een phishingaanval mogelijk werd die ongeveer $2,94 miljoen stal uit ten minste 11 gebruikerswallets.
- Polymarket verwijderde de kwaadaardige dependency, beperkte de inbreuk en beloofde alle getroffen gebruikers volledig terug te betalen.
- Blockchainanalist Specter bevestigde dat de gestolen PUSD werd geruild voor ETH en geconsolideerd in één enkel adres.
- DefiLlama registreerde het incident als de 89e cryptobeveiligingsinbreuk in Q2 2026, het hoogste aantal incidenten per kwartaal in zijn gegevens.
- In juni 2026 waren er volgens DefiLlama $74,9 miljoen aan verliezen over 29 exploits.
Details van de Polymarket frontend phishingaanval
De Polymarket phishingaanval maakte geen misbruik van een fout in de smart contracts of de kerninfrastructuur van het platform. In plaats daarvan gingen aanvallers via de zijdeur naar binnen — een derde partij leverancier wiens gecompromitteerde toegang hen in staat stelde een kwaadaardig script rechtstreeks in de frontendinterface van Polymarket te injecteren.
Dat onderscheid is belangrijk. Gebruikers die interacteerden met wat eruitzag als de normale Polymarket-interface, werden onbewust blootgesteld aan code die was ontworpen om geld uit hun gekoppelde wallets te stelen. De aanvalsvector was stil, onzichtbaar en effectief.
Kwaadaardige code-injectie via derde partij leverancier
Polymarket maakte het incident bekend op X en bevestigde dat een derde partij leverancier was gecompromitteerd en was gebruikt om een kwaadaardig script naar de frontend van het platform te pushen voor sommige gebruikers. Het platform beschreef de volgorde eenvoudig: ontdekken, indammen, verwijderen, terugbetalen.
“Vanmorgen ontdekten we dat een derde partij leverancier was gecompromitteerd, die een kwaadaardig script in onze frontend injecteerde voor sommige gebruikers. We hebben het ingedamd en de getroffen dependency verwijderd. We nemen contact op met getroffen gebruikers en betalen hen volledig terug,” postte Polymarket Traders op 25 juni 2026.
Blockchainanalist Specter classificeerde het incident als een phishingcampagne in plaats van een directe protocol-exploit. Het geïnjecteerde script wachtte tot gebruikers interacteerden met de gecompromitteerde interface en werd vervolgens geactiveerd om geld uit gekoppelde wallets weg te sluizen.
Impact van de aanval en getroffen wallets
Specter schatte de verliezen op ongeveer $2,94 miljoen die werden leeggetrokken uit ten minste 11 slachtofferwallets. De gestolen activa, aangehouden in PUSD, werden geruild voor ETH en naar één enkel geconsolideerd adres geleid — een patroon dat consistent is met snelle witwaspogingen na een DeFi-diefstal.
De omvang van het verlies onderstreept hoe effectief aanvallen op frontendlagen kunnen zijn. Zelfs met relatief weinig gecompromitteerde wallets bereikte de dollarimpact bijna drie miljoen dollar, wat de grootte weerspiegelt van de posities die sommige gebruikers op het voorspellingsmarktplatform aanhielden.
Reactie van het platform en compensatie voor gebruikers
Polymarket handelde snel zodra de inbreuk werd geïdentificeerd. De kwaadaardige dependency werd verwijderd, het incident werd ingedamd en het platform beloofde elke getroffen gebruiker volledig schadeloos te stellen.
Indamming van het incident en verwijdering van de kwaadaardige dependency
De reactie volgde een duidelijke en transparante volgorde: het gecompromitteerde onderdeel isoleren, het van het platform verwijderen en publiekelijk communiceren. Polymarket bevestigde dat het actief rechtstreeks contact opnam met getroffen gebruikers, in plaats van te wachten tot gebruikers zichzelf zouden melden.
Die aanpak — proactieve benadering gecombineerd met een volledige terugbetalingsbelofte — weerspiegelt hoe DeFi-platforms steeds beter begrijpen dat gebruikersvertrouwen, eenmaal gebroken, veel moeilijker te herstellen is dan het verloren dollarbedrag.
Toezegging van volledige terugbetaling voor getroffen gebruikers
De belofte van volledige vergoeding voor alle getroffen gebruikers is significant. Hoewel de exacte timing en het distributiemechanisme voor die terugbetalingen niet werden gespecificeerd, zet de publieke toezegging de reputatie van Polymarket direct op het spel. Voor een voorspellingsmarktplatform dat afhankelijk is van gebruikersparticipatie en liquiditeit, is die verantwoordelijkheid zowel financieel als strategisch.
Contextualisering van de inbreuk binnen cryptobeveiliging
Het Polymarket-incident vond niet in isolatie plaats. Het viel in een kwartaal dat al onwelkome records heeft gevestigd voor cryptobeveiligingsfalen.
DefiLlama meldt recordaantal cryptobeveiligingsinbreuken in Q2 2026
DefiLlama registreerde de Polymarket-inbreuk als het 89e cryptobeveiligingsincident van Q2 2026 — waarmee het de hoogste incidentteller per kwartaal werd die het analyseplatform ooit heeft bijgehouden. Dat cijfer alleen al wijst op een systemisch probleem. Meer aanvallen, vaker, over een breder scala aan platforms en vectoren.
Compromittering van private keys was goed voor 43% van de exploitverliezen in de afgelopen 30 dagen, aldus DefiLlama. Fake proof-exploits vertegenwoordigden 10% van de verliezen en reverse MEV-honeypots waren goed voor 8%. De Polymarket-aanval, geworteld in een frontend supply chain-compromis in plaats van een private key- of protocolfout, illustreert dat aanvallers hun methoden diversifiëren naarmate de verdediging rond traditionele vectoren verbetert.
Overzicht van exploits en verliezen in juni 2026
DefiLlama rapporteerde $74,9 miljoen aan verliezen uit 29 crypto-exploits alleen al in juni 2026. Dat cijfer overtrof de $60,5 miljoen van mei, maar bleef ver onder de $644 miljoen van april — een maand waarin enkele van de grootste individuele DeFi-diefstallen van het jaar plaatsvonden.
Het grootste enkele incident in juni was een $36 miljoen-exploit gericht op Humanity Protocol. Andere opmerkelijke aanvallen waren onder meer een exploit van $4,7 miljoen op de Secret Network-brug, twee afzonderlijke exploits van $2,1 miljoen die Aztec troffen, en een brugexploit van $1,7 miljoen op Taiko. Tegen die achtergrond valt het verlies van $2,94 miljoen van Polymarket in de middencategorie van de incidenten in juni naar dollarwaarde — maar de methode en context maken het bijzonder leerzaam.
Eerder beveiligingsincident bij Polymarket
De frontendaanval in juni was niet de eerste beveiligingskop voor Polymarket dit kwartaal. Ongeveer een maand eerder maakte het platform een afzonderlijke inbreuk bekend die een veel oudere kwetsbaarheid betrof.
Gecompromitteerde zes jaar oude private key resulteert in verlies van $600.000
Aanvallers maakten misbruik van een zes jaar oude private key die was gekoppeld aan een interne top-up operations wallet en gingen er met ongeveer $600.000 vandoor. Beveiligingsonderzoekers ZachXBT, PeckShield en Bubblemaps signaleerden aanvankelijk verdachte activiteit met betrekking tot het UMA CTF Adapter-contract van Polymarket op Polygon. Bubblemaps merkte op dat aanvallers elke 30 seconden 5.000 POL opnamen voordat de totale verliezen werden geschat op ongeveer $600.000.
Verduidelijking van de hoofdoorzaak van het incident en platformsveiligheid
Polymarket-protocolbijdrager Shantikiran Chanal verduidelijkte later dat het eerdere incident voortkwam uit een gecompromitteerde wallet die uitsluitend werd gebruikt voor interne operaties, niet uit een fout in de contracts of kerninfrastructuur van het platform. Vicepresident engineering Josh Stevens bevestigde dat gebruikersfondsen en smart contracts de hele tijd veilig waren gebleven en dat alle permissies die aan de gecompromitteerde key waren gekoppeld, waren ingetrokken.
Twee afzonderlijke incidenten, een maand uit elkaar, met volledig verschillende aanvalsvectoren — de ene een vergeten private key, de andere een gecompromitteerde leverancier in de toeleveringsketen — schetsen een uitdagend beeld voor een platform dat snelle groei doormaakt naast een erfenis van beveiligingsschulden. De frontend phishingaanval benadrukt in het bijzonder een risicocategorie die veel DeFi-platforms delen maar waar weinigen zich volledig tegen hebben gehard: het impliciete vertrouwen in code van derden die op hun interfaces draait.
FAQ
Hoe vond de Polymarket phishingaanval plaats?
Aanvallers compromitteerden een derde partij leverancier en injecteerden kwaadaardige code in de frontendinterface van Polymarket. Wanneer gebruikers met de gecompromitteerde interface interacteerden, werd het script geactiveerd en stal het rechtstreeks geld uit hun gekoppelde wallets.
Welk bedrag werd gestolen bij de Polymarket phishingaanval en hoeveel gebruikers werden getroffen?
Ongeveer $2,94 miljoen werd gestolen uit ten minste 11 gebruikerswallets. De gestolen PUSD werd geruild voor ETH en geconsolideerd in één walletadres dat werd geïdentificeerd door blockchainanalist Specter.
Hoe reageerde Polymarket op de phishingaanval?
Polymarket verwijderde de kwaadaardige dependency, damde het incident in en beloofde alle getroffen gebruikers volledig terug te betalen. Het platform verklaarde ook dat het rechtstreeks contact opnam met getroffen gebruikers.
Wat is de bredere context van deze aanval binnen trends in cryptobeveiliging?
De aanval werd door DefiLlama geregistreerd als de 89e cryptobeveiligingsinbreuk van Q2 2026, waarmee het het hoogste aantal incidenten per kwartaal ooit werd. Alleen al in juni 2026 waren er $74,9 miljoen aan verliezen over 29 exploits, waarbij compromittering van private keys goed was voor 43% van de recente exploitverliezen.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Hoe vond de Polymarket phishingaanval plaats?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Aanvallers compromitteerden een derde partij leverancier en injecteerden kwaadaardige code in de frontendinterface van Polymarket. Wanneer gebruikers met de gecompromitteerde interface interacteerden, werd het script geactiveerd en stal het rechtstreeks geld uit hun gekoppelde wallets.”}},{“@type”:”Question”,”name”:”Welk bedrag werd gestolen bij de Polymarket phishingaanval en hoeveel gebruikers werden getroffen?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Ongeveer $2,94 miljoen werd gestolen uit ten minste 11 gebruikerswallets. De gestolen PUSD werd geruild voor ETH en geconsolideerd in één walletadres dat werd geïdentificeerd door blockchainanalist Specter.”}},{“@type”:”Question”,”name”:”Hoe reageerde Polymarket op de phishingaanval?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Polymarket verwijderde de kwaadaardige dependency , damde het incident in en beloofde alle getroffen gebruikers volledig terug te betalen. Het platform verklaarde ook dat het rechtstreeks contact opnam met getroffen gebruikers.”}},{“@type”:”Question”,”name”:”Wat is de bredere context van deze aanval binnen trends in cryptobeveiliging?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”De aanval werd door DefiLlama geregistreerd als de 89e cryptobeveiligingsinbreuk van Q2 2026, waarmee het het hoogste aantal incidenten per kwartaal ooit werd. Alleen al in juni 2026 waren er $74,9 miljoen aan verliezen over 29 exploits, waarbij compromittering van private keys goed was voor 43% van de recente exploitverliezen.”}}]}
Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.
