Wieder eine Schlagzeile: „Polymarket gehackt — fast 3 Millionen Dollar gestohlen." Der reflexhafte Schluss schreibt sich von selbst: Krypto sei von Betrug durchzogen und so schlecht programmiert, dass es im Wochentakt kracht.
Beide Hälften dieses Eindrucks sind eine Verzerrung — aber nicht auf die bequeme Weise. Es lohnt, genau hinzusehen, denn der Polymarket-Fall belegt etwas anderes, als die Schlagzeile nahelegt. Und an zwei Stellen ist Krypto tatsächlich unsicherer — nur nicht dort, wo die meisten es vermuten.
Die Sichtbarkeits-Verzerrung
Krypto-Vorfälle sind einzigartig sichtbar. Sie passieren on-chain: sofort, auf den Dollar genau beziffert, öffentlich nachverfolgbar bis zur Täter-Wallet. Ein Datenleck bei einem Konzern ist das Gegenteil — verzögert gemeldet, im Schaden unscharf, oft gar nicht offengelegt oder still per Vergleich beigelegt.
Man vergleicht also eine Branche, die ihre Wunden in Echtzeit und in Ziffern ausstellt, mit Branchen, die sie verbergen dürfen. Sicherheitslecks, gestohlene Datensätze und Frontend-Angriffe gibt es überall — es dürfte kaum ein großes Unternehmen oder eine Behörde geben, die noch nie kompromittiert wurde. Nur steht dort selten eine exakte Dollar-Zahl in der Überschrift. Dass „es bei Krypto ständig kracht", ist zu großen Teilen ein Nebenprodukt dieser Transparenz, nicht der Häufigkeit.
Der Polymarket-Fall, zerlegt
Genau hier wird das Schlagzeilen-Beispiel lehrreich — weil es gar kein Krypto-Versagen im engeren Sinn war.
Der Angriff war eine Phishing-Kampagne, kein Exploit der Smart Contracts. Ein kompromittierter Drittanbieter schleuste ein Schadskript in das Frontend ein; dieses zog Gelder aus Nutzer-Wallets ab, sobald jemand mit der manipulierten Oberfläche interagierte. Betroffen waren rund 3,1 Millionen Dollar aus elf Wallets, anschließend von Polygon zu Ethereum gebrückt, um die Spur zu verwischen. Die Kryptografie war nicht gebrochen. Die Verträge waren nicht gebrochen. Gebrochen war die Web-Lieferkette — exakt dieselbe Angriffsklasse wie ein manipuliertes Software-Paket oder ein kompromittierter Dienstleister bei einem ganz gewöhnlichen Webshop.
Und das ist der Regelfall, nicht die Ausnahme. Über die letzten 30 Tage (Stand Juni 2026) waren kompromittierte private Schlüssel mit rund 43 % der gemeldeten Verluste die häufigste Angriffsmethode überhaupt — also gestohlene Schlüssel, Phishing, Social Engineering. Nicht „schlecht gecodete" Verträge. Ein großer Teil der „Krypto-wurde-gehackt"-Schlagzeilen sind in Wahrheit Web2-Angriffe auf krypto-nahe Infrastruktur und auf Menschen.
Trotzdem ehrlich bleiben: zwei Stellen, wo Krypto schwerer wiegt
Es wäre zu billig, daraus „alles nur Wahrnehmung" zu machen. An zwei Punkten ist Krypto strukturell unnachgiebiger — und ein fairer Beitrag benennt sie.
Erstens, die Anreiz-Asymmetrie von Open Source. Dass Quellcode und Smart Contracts einsehbar sind, lässt Fehler schneller finden — von beiden Seiten. In einem normalen Unternehmen verschafft dir ein gefundener Bug nicht direkt das Bankkonto der Firma. In einem Vertrag, der 100 Millionen hält, ist der Bug eine 100-Millionen-Prämie: sofort, anonym, unumkehrbar auszahlbar. Das ist die stärkste Kopfgeld-Struktur der Software-Geschichte — nur geht sie an den Schnellsten, nicht an den Ehrlichsten. Die Kehrseite der Einsehbarkeit ist zudem die Unveränderlichkeit: Ein einmal ausgerollter, unveränderlicher Vertrag lässt sich oft nicht wie ein Server in Minuten patchen. Die Mittel sind in einer einzigen Transaktion weg, bevor jemand „beheben" kann. „Schneller gefunden und behoben" gilt für die gewartete, auditierte Schicht — deutlich schlechter für die unveränderliche Vertrags-Ebene.
Zweitens, die Unumkehrbarkeit. Bei Bank und klassischem Web gibt es Rückbuchungen, Einlagensicherung, Betrugs-Stornos, Versicherungen, Rechtsweg. In Krypto ist Diebstahl in aller Regel endgültig. Dass Polymarket die Betroffenen voll entschädigt, ist gerade kein Krypto-Eigenschaftsbeweis — es geht nur, weil ein zentraler Betreiber sich dafür entscheidet. In echter, dezentraler DeFi gibt es niemanden, der zurückbucht. Pro Vorfall ist der Nutzerschaden in Krypto daher oft total, nicht „vergleichbar, aber unsichtbarer". Die Sichtbarkeit ist Wahrnehmung — die Endgültigkeit ist real.
Der Kern: man muss nach Schichten trennen
„Krypto" ist sicherheitstechnisch nicht eine Sache. Wer pauschal urteilt, vermischt Ebenen mit völlig verschiedenen Risikoprofilen.
| Schicht | Was bricht | Angriffsklasse | Entsprechung außerhalb Krypto |
|---|---|---|---|
| Basis-Protokoll (Bitcoin, Ethereum-Konsens) | praktisch nie protokoll-gebrochen | — | über Jahre gehärtete Kerninfrastruktur |
| Smart Contracts / DeFi | Logikfehler in (neuen) Verträgen | Code-Exploit | Anwendungsfehler in Software |
| Bridges | Übergänge zwischen Ketten | Code-Exploit (oft die größten Summen) | komplexe Integrationsschnittstellen |
| Schlüssel / Frontend / Mensch | gestohlene Schlüssel, manipuliertes Frontend, Phishing | Web2 / Social Engineering | Datenlecks, Lieferkette, Phishing — überall |
Die Basis-Protokolle sind über Jahre unter maximalem Druck und mit Milliarden als Kopfgeld nicht gebrochen worden — das ist robuster als der Großteil veralteter Konzern- und Behörden-IT, die oft auf alten Standards läuft. Ausgebeutet wird die Peripherie: Schlüssel, Frontends, Bridges, neue und unauditierte Verträge, Menschen. Also genau die Angriffsfläche, die überall versagt.
Damit ist „Krypto ist schlecht gecodet" über die Basis schlicht falsch und über die Peripherie fehlzugeordnet — es ist Web- und Menschen-Versagen, kein Krypto-Versagen. Und die These „was überlebt, wird stärker" stimmt mit einer Fußnote: Es ist Survivorship. Das Lehrgeld haben die Nutzer der Protokolle gezahlt, die nicht überlebt haben.
Methodisch-ehrliches Fazit
Trennen wir Beleg von Deutung.
Belegt: Der Polymarket-Vorfall war ein Frontend-/Lieferketten-Phishing, kein Vertrags-Exploit. Gestohlene Schlüssel sind aktuell die häufigste Verlustursache. Die Basis-Protokolle sind seit Jahren protokoll-intakt.
Deutung: Ob „was überlebt, ist sicherer als Legacy-IT" gilt, hängt von der Schicht ab und von der Zukunft — eine robuste Vergangenheit ist kein Garantieschein.
Praktisch heißt das für jeden, der sich seriös mit dem Markt beschäftigt: Dein Risiko liegt fast nie in gebrochener Kryptografie, sondern in der Peripherie — deine Schlüssel, die Oberfläche, die du benutzt, die Mail, auf die du klickst. Dieselbe Hygiene wie überall, nur mit dem Unterschied, dass ein Fehler hier endgültig ist. Miss die tatsächliche Angriffsfläche, nicht die Schlagzeile.
FAQ
War der Polymarket-Hack ein Smart-Contract-Fehler? Nein. Sicherheitsforscher stuften ihn als Phishing über einen kompromittierten Drittanbieter ein, der ein Schadskript ins Frontend einschleuste. Die Smart Contracts wurden nicht ausgenutzt — der Angriff ging durch die Web-Lieferkette.
Ist Krypto unsicherer als andere Branchen? Differenziert. Die Basis-Protokolle sind extrem robust; ausgebeutet wird meist die Peripherie (Schlüssel, Frontends, Phishing) — dieselbe Angriffsfläche wie überall. Zwei echte Unterschiede: Open Source macht Fehler zu sofortigen, anonymen Prämien, und Krypto-Diebstahl ist meist unumkehrbar.
Warum wirkt es, als würde Krypto ständig gehackt? Wegen der Transparenz: Vorfälle sind on-chain sofort sichtbar und exakt beziffert, während Datenlecks in anderen Branchen oft verzögert, unscharf oder gar nicht gemeldet werden.
Dieser Beitrag ist eine analytische Einordnung, keine Sicherheits- oder Anlageberatung. Studiere die Vergangenheit — verbessere deine Zukunft. 🥋