Platform prediksi pasar terdesentralisasi Polymarket mengalami insiden keamanan serius pada Kamis (25/6) setelah peretas berhasil menyusup melalui vendor pihak ketiga yang dikompromikan. Akibatnya, sekitar $3 juta dana pengguna berhasil dikuras dari sejumlah akun di platform tersebut.
Insiden ini menjadi pukulan telak bagi Polymarket yang tengah menikmati popularitas sebagai platform prediksi pasar berbasis kripto terkemuka. Perusahaan mengonfirmasi bahwa serangan terjadi melalui injeksi kode berbahaya (malicious code injection) yang disisipkan ke antarmuka depan (front-end) situs Polymarket, memanfaatkan celah keamanan pada vendor eksternal yang terlibat langsung dalam operasional platform.
Kronologi Serangan
Polymarket tidak mengungkapkan secara publik vendor mana yang menjadi titik masuk serangan. Namun perusahaan menegaskan bahwa masalah telah berhasil diatasi dan dihapus dari sistem front-end mereka. "Kami sedang dalam proses mengembalikan dana secara penuh kepada pengguna yang terdampak," tulis Polymarket melalui akun resmi X mereka.
Investigasi dari firma analitik blockchain Bubblemaps mengungkapkan bahwa dampak serangan ini relatif terkendali — kurang dari 15 akun pengguna yang terkena dampak langsung. Meski demikian, jumlah dana yang berhasil dibawa kabur tergolong signifikan, mencapai sekitar $3 juta.
Modus Operandi Peretas
Modus operandi peretas cukup terstruktur. Mereka menguras dana dari dompet pengguna Polymarket yang berisi pUSD, sebuah stablecoin yang dipatok terhadap dolar AS dan didukung oleh USDC. pUSD merupakan token khusus yang digunakan untuk seluruh aktivitas perdagangan di Polymarket. Setelah berhasil mengumpulkan pUSD, peretas kemudian mengonversi seluruh dana curian menjadi ETH dan memindahkannya ke satu dompet Ethereum yang hingga laporan ini ditulis masih menyimpan hasil curian tersebut.
Alamat dompet peretas yang teridentifikasi adalah 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD, dan berdasarkan data Etherscan, dana tersebut belum berpindah sejak dikonsolidasikan.
Insiden Beruntun dalam Dua Bulan
Yang menambah kekhawatiran, ini adalah insiden keamanan kedua yang dialami Polymarket dalam kurun dua bulan terakhir. Bulan lalu, platform ini mengalami peretasan pada dompet internal perusahaan yang digunakan karyawan untuk menambah dan membayar reward pengguna. Insiden tersebut mengakibatkan kerugian sekitar $700.000 dan diduga kuat disebabkan oleh kebocoran kunci privat (private key compromise).
Meskipun insiden sebelumnya tidak berdampak pada infrastruktur inti Polymarket maupun menimbulkan risiko lebih luas bagi pengguna, dua serangan beruntun ini menunjukkan pola yang mengkhawatirkan: peretas semakin mahir menyusup ke perusahaan kripto besar melalui jalur-jalur pinggiran dan pihak ketiga, bahkan ketika protokol inti tetap aman.
Dampak dan Analisis
Insiden ini mencerminkan tantangan keamanan yang semakin kompleks di industri Web3. Ketergantungan platform pada vendor eksternal, integrasi API, dan layanan pihak ketiga menciptakan permukaan serangan (attack surface) yang semakin luas. Insiden Polymarket menjadi pengingat bahwa keamanan siber di dunia kripto bukan hanya soal audit smart contract, tetapi juga manajemen risiko menyeluruh pada seluruh rantai pasok digital.
Komunitas kripto pun bereaksi terhadap insiden ini. Beberapa pengamat keamanan menyarankan agar Polymarket mempertimbangkan pendekatan yang lebih ketat dalam mengaudit vendor, termasuk menerapkan Content Security Policy (CSP) yang lebih agresif dan isolasi komponen front-end untuk membatasi dampak jika vendor kembali dikompromikan di masa depan.
Insiden ini terjadi di tengah tekanan pasar kripto yang lebih luas, di mana Bitcoin baru saja jatuh ke level $58.000 — terendah dalam 21 bulan. Kombinasi antara pasar yang bearish dan insiden keamanan beruntun berpotensi menekan kepercayaan pengguna terhadap platform prediksi pasar berbasis kripto secara umum.
Sumber: Decrypt
