Platform pasar prediksi terkemuka Polymarket mengalami insiden keamanan serius pada Kamis (26/6) setelah peretas berhasil mengeksploitasi celah dari vendor pihak ketiga untuk menyuntikkan skrip berbahaya ke halaman depan (frontend) platform. Serangan ini menguras dana sekitar US$2,94 juta atau setara Rp45 miliar dari setidaknya 11 dompet pengguna.
Kronologi Serangan Supply Chain ke Polymarket
Perusahaan analisis blockchain Specter pertama kali mengidentifikasi skrip berbahaya tersebut yang tampaknya merupakan serangan phishing terselubung. Skrip itu memfasilitasi serangan phishing yang menguras sekitar US$2,94 juta dari sedikitnya 11 dompet pengguna Polymarket. Tim investigasi on-chain Bubblemaps mengonfirmasi bahwa dampak peretasan ini relatif terbatas, kurang dari 15 akun pengguna terdampak.
Para peretas menguras dana dari dompet pengguna Polymarket yang berisi pUSD, stablecoin spesifik Polymarket yang dipatok terhadap dolar AS dan didukung oleh USDC. Dana curian kemudian dikonversi menjadi ETH dan dikumpulkan dalam satu alamat Ethereum yang hingga saat ini masih menyimpan seluruh dana hasil peretasan.
Respons Cepat Polymarket dan Janji Refund Penuh
Menanggapi insiden ini, Polymarket segera bergerak cepat melalui akun resmi X mereka. Kompromi telah berhasil diatasi dan dependensi yang terdampak telah dihapus. Seluruh pengguna yang terdampak akan mendapatkan refund secara penuh. Polymarket belum mengungkapkan vendor pihak ketiga mana yang menjadi celah serangan ini.
Ini bukan insiden keamanan pertama Polymarket tahun ini. Bulan lalu, platform ini juga mengalami peretasan pada dompet operasional internal yang digunakan karyawan untuk top-up dan pembayaran reward, mengakibatkan kerugian sekitar US$600.000 akibat kebocoran kunci privat berusia enam tahun.
Pola Serangan Rantai Pasok yang Mengkhawatirkan
Kedua insiden ini menunjukkan kerentanan yang mengkhawatirkan: peretas mampu menyusup ke perusahaan besar melalui celah-celah periferal, bahkan ketika protokol inti tetap aman. Pola serangan rantai pasok (supply chain attack) seperti ini semakin menjadi perhatian di industri kripto, terutama karena platform DeFi sering bergantung pada banyak dependensi eksternal.
Insiden Polymarket menjadi yang ke-89 pada kuartal kedua 2026 berdasarkan data DefiLlama, menjadikan Q2 2026 sebagai kuartal paling banyak diretas dalam sejarah kripto berdasarkan jumlah insiden. Secara keseluruhan, kerugian akibat eksploitasi kripto sepanjang Juni mencapai US$74,9 juta dari 29 insiden yang dilaporkan, melampaui total US$60,5 juta di bulan Mei.
Vektor Serangan Dominan di Ekosistem Kripto
Berdasarkan data DefiLlama, selama 30 hari terakhir, kebocoran kunci privat menyumbang 43% dari total kerugian, menjadikannya vektor serangan paling dominan. Diikuti oleh eksploitasi fake proof sebesar 10% dan reverse MEV honeypots sebesar 8%. Data ini menunjukkan bahwa meskipun keamanan smart contract terus meningkat, faktor manusia dan infrastruktur tetap menjadi titik lemah utama.
Meskipun diterpa insiden keamanan, Polymarket tetap menunjukkan fundamental kuat dengan total value locked (TVL) lebih dari US$450 juta, naik 301% dari US$112 juta tahun lalu. Platform ini terus menjadi pemimpin di sektor pasar prediksi berbasis blockchain dengan lebih dari 60% pengguna baru yang merupakan first-time crypto users selama Piala Dunia.
Insiden ini menjadi pengingat penting bahwa keamanan dalam ekosistem DeFi tidak hanya bergantung pada keamanan smart contract, tetapi juga mencakup seluruh rantai pasok teknologi termasuk vendor pihak ketiga, integrasi frontend, dan manajemen dependensi. Pengguna diimbau untuk selalu waspada dan memverifikasi setiap transaksi sebelum menyetujuinya.
Sumber: Cointelegraph, Decrypt, Specter, DefiLlama
