Polymarket-hack: $3,1 miljoen gestolen via gehackte leverancier, platform belooft volledige terugbetaling
Hackers stalen $3,1 miljoen van Polymarket-gebruikers via een gehackte leverancier. Hoe werkt zo'n frontend-aanval en wat betekent terugbetaling?
Hackers stalen zo'n $3,1 miljoen aan PUSD-tokens van het crypto-prediction-platform Polymarket door een kwaadaardig script te injecteren in de frontend van de site. Het geld werd gestolen uit de wallets van maximaal vijftien gebruikers. Polymarket heeft volledige terugbetaling toegezegd.
Wat opvalt: dit was geen hack van een smart contract of van de blockchain zelf. Het kwaadaardige script zat in de website die jij als gebruiker te zien krijgt. Precies daardoor is het zo'n gevaarlijk aanvalstype, ook op platforms die zichzelf 'gedecentraliseerd' noemen.
Wat er precies gebeurde
Op donderdag 26 juni ontdekte Polymarket dat een externe leverancier was gecompromitteerd. Die leverancier leverde een softwarecomponent die in de frontend van de Polymarket-site draaide. Aanvallers hadden dat component voorzien van een kwaadaardig script, een zogenoemde wallet-drainer, dat bij sommige gebruikers automatisch activeerde zodra ze de site bezochten.
Het resultaat: de wallets van die gebruikers werden leeggetrokken zonder dat ze zelf op een verdachte link hoefden te klikken. Blockchain-intelligencebedrijf AMLBot stelde het gestolen bedrag op ~$3,1 miljoen in PUSD (update zaterdag 27 juni). Eerdere schattingen lagen rond de $2,94 tot $3 miljoen.
Blockchain-analysebedrijf PeckShield volgde de fondsen on-chain: de aanvaller bridgede de gestolen PUSD van Polygon naar Ethereum en wisselde alles om in ongeveer 1.893 ETH. Wie achter de aanval zit, is vooralsnog onbekend.
Polymarket zelf bevestigde de aanval in een statement op X: "This morning we discovered a third party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it and removed the affected dependency. We're contacting impacted users and refunding them in full."
Wat is een third-party-vendor-aanval?
Moderne websites, ook crypto-platforms, zijn zelden volledig zelfgebouwd. Ze gebruiken tientallen externe softwarecomponenten van derden: voor analytics, knoppen, widgets of andere functionaliteit. Als zo'n externe leverancier wordt gecompromitteerd, kan een aanvaller code injecteren in álle sites die dat component gebruiken, zonder ooit direct bij het platform zelf in te breken.
Dit type aanval heet een supply chain-aanval. Voor gebruikers is het verraderlijk, omdat de domeinnaam en het slotje in de adresbalk gewoon kloppen. Je bezoekt de echte Polymarket-site. Toch voert het script in de achtergrond acties uit op je wallet.
Dat is precies waarom "het is een gedecentraliseerd platform, dus mijn geld is veilig" geen waterdicht argument is. De blockchain zelf wordt niet gehackt, maar de interface die jij gebruikt wel.
Wat betekent 'volledige terugbetaling' in de praktijk?
Polymarket zegt gedupeerde gebruikers direct te benaderen en volledig te vergoeden. In totaal gaat het om maximaal 15 accounts, al noemen sommige bronnen elf specifieke wallets.
Praktisch betekent dit dat Polymarket de $3,1 miljoen uit eigen middelen moet vergoeden, want de blockchain-transacties zijn onomkeerbaar. Eenmaal geclaimd en omgezet in ETH, is dat geld niet terug te draaien door een derde partij.
Wat nog onduidelijk is: hoeveel gebruikers precies worden benaderd, wanneer de vergoedingen worden uitbetaald en in welke munteenheid. Polymarket heeft buiten het X-statement geen verdere details gegeven.
Waarom dit jou raakt, ook als Polymarket-gebruiker
Als je PUSD of andere tokens op Polymarket had staan op het moment van de aanval, kan je wallet getroffen zijn. De kans is klein, gezien het geringe aantal gedupeerden. Maar het incident toont een risico dat breder geldt voor elke gebruiker van crypto-platforms.
Een paar concrete aandachtspunten:
- Gebruik hardware wallets voor grotere bedragen. Een script in een browser kan geen transacties ondertekenen op een hardware wallet zonder fysieke bevestiging.
- Wees alert op onverwachte transactieverzoeken in je wallet-app, ook op sites die je vertrouwt.
- Sluit na elk gebruik je wallet-verbinding met een platform. Veel wallets bieden een optie om actieve verbindingen te beheren en in te trekken.
- Controleer je transactiegeschiedenis regelmatig, ook als je geen actieve handel hebt gedaan.
Dit zijn geen garanties, maar het verkleint de aanvalsoppervlakte aanzienlijk.
Meer dan één incident: Polymarket onder druk
De aanval van deze week staat niet op zichzelf. Polymarket heeft de afgelopen periode meerdere security-incidenten gekend, waaronder een eerder incident rondom een admin-wallet dat geen gebruikersfondsen raakte.
Daarbij komt dat het platform onder federaal onderzoek ligt wegens vermeend misleidende of bedrieglijke social-media-promoties. Polymarket heeft over dat onderzoek geen publieke uitspraken gedaan.
Voor gebruikers die overwegen het platform te blijven gebruiken, is het de moeite waard om die bredere context mee te wegen, naast de technische securityvraagstukken.
Wat volgt
Polymarket heeft nog geen verdere details gegeven over het exacte aantal getroffen gebruikers, de timing van de terugbetalingen en de identiteit van de aanvaller. Het federale onderzoek naar de social-media-promoties loopt eveneens nog. Verdere updates worden verwacht via het officiële Polymarket-kanaal op X.
Bronnen: Polymarket (X), AMLBot (X), PeckShield (X)
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.
Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.