Platform prediksi terdesentralisasi Polymarket kembali menjadi sorotan setelah firma intelijen blockchain AMLBot mengonfirmasi bahwa total kerugian akibat peretasan phishing yang terjadi pekan ini telah meningkat menjadi sekitar $3,1 juta.
Kronologi Peretasan: Skrip Berbahaya dari Vendor Pihak Ketiga
Serangan ini menargetkan sebelas dompet pengguna Polymarket dan berhasil menguras token PUSD, stablecoin internal yang digunakan sebagai aset kolateral untuk seluruh aktivitas trading di platform prediksi tersebut.
AMLBot melaporkan melalui akun X resminya pada Sabtu (27/6) bahwa dana yang dicuri dari jaringan Polygon langsung dijembatani (bridge) ke Ethereum. Tim AMLBot menyatakan terus memantau pergerakan dana dari alamat-alamat yang terlibat.
Polymarket sendiri mengakui insiden ini terjadi karena kompromi pada vendor pihak ketiga yang menyuntikkan skrip berbahaya (malicious script) ke dalam antarmuka frontend platform. "Kami telah menahannya dan menghapus dependensi yang terpengaruh," tulis Polymarket melalui akun X resminya. Platform tersebut juga berjanji akan mengganti rugi seluruh pengguna yang terdampak secara penuh.
Estimasi Kerugian Membengkak dari $2,94 Juta ke $3,1 Juta
Firma keamanan blockchain PeckShield sebelumnya melaporkan bahwa pelaku meluncurkan kampanye phishing yang secara spesifik menargetkan pengguna Polymarket. Estimasi awal menyebutkan kerugian sekitar 1.893 ETH.
Sementara itu, platform intelijen blockchain lainnya, Specter Analyst, memperkirakan kerugian awal mencapai $2,94 juta sebelum akhirnya dikonfirmasi naik menjadi $3,1 juta. Salah satu korban yang diidentifikasi dengan nama pengguna "Ash" di platform X mengungkapkan bahwa dompetnya diretas tanpa ia ketahui penyebabnya saat kejadian. Ash juga membagikan alamat dompet miliknya dan alamat pelaku kepada publik.
Rentetan Insiden Keamanan dan Investigasi Federal
Insiden ini bukanlah yang pertama bagi Polymarket. Pada Maret lalu, investigator blockchain ternama ZachXBT menandai adanya dugaan pelanggaran keamanan di mana lebih dari $520.000 dilaporkan terkuras dari dua smart contract di jaringan Polygon. Saat itu, Polymarket mengklaim dana pengguna tetap aman.
Pada Desember tahun lalu, platform juga mengonfirmasi adanya pelanggaran akun pengguna yang disebabkan oleh penyedia login pihak ketiga yang tidak diidentifikasi. Para pengguna melaporkan dana hilang dan aktivitas login mencurigakan melalui kanal Discord Polymarket.
Rentetan insiden keamanan ini terjadi di tengah laporan bahwa Polymarket sedang menghadapi investigasi federal. Menurut laporan Wall Street Journal, platform ini diselidiki terkait dugaan praktik pemasaran menipu (deceptive marketing) melalui promosi media sosial yang menampilkan pengguna yang memamerkan kemenangan taruhan mereka.
Dua senator Amerika Serikat, John Curtis dan Adam Schiff, juga telah mendesak Commodity Futures Trading Commission (CFTC) untuk menyelidiki Polymarket atas dugaan pemasaran menipu tersebut. Para senator menyatakan kekhawatiran terhadap kemampuan penegakan CFTC setelah laporan yang "mengkhawatirkan" tentang praktik periklanan Polymarket.
Polymarket belum memberikan tanggapan resmi atas permintaan komentar dari CoinDesk hingga Sabtu pagi waktu Amerika Serikat. Platform prediksi berbasis Polygon ini telah menjadi salah satu aplikasi terdesentralisasi paling populer dengan volume perdagangan miliaran dolar setiap bulannya.
