Platform pasar prediksi Polymarket menyatakan bahwa para peretas mencuri sekitar $3 juta dari para pengguna setelah penyedia layanan pihak ketiga diretas dan kode berbahaya disisipkan ke dalam situs webnya. Insiden tersebut kini telah sepenuhnya ditangani, dan proses pengembalian dana secara penuh sedang dilakukan bagi para pengguna yang terdampak.
Polymarket Mengonfirmasi Bahwa Para Peretas Menguras Dana Sebesar $3 Juta dari Pengguna Akibat Pelanggaran Keamanan yang Dilakukan Pihak Ketiga
DITULIS OLEH
BAGIKAN
Poin-poin Penting
Serangan Rantai Pasokan, Bukan Pelanggaran Langsung
Polymarket mengungkapkan bahwa kerentanan pada salah satu penyedia layanannya memungkinkan penyerang menyisipkan kode berbahaya ke dalam frontend untuk sebagian pengguna. Skrip yang dimanipulasi tersebut menggerakkan kampanye phishing yang menipu korban agar menyetujui transaksi palsu, yang kemudian menguras dana dari dompet terhubung mereka.
"Kami telah mengendalikan insiden ini," kata Polymarket, sambil menambahkan bahwa mereka telah menghapus dependensi yang terpengaruh dan "mengembalikan dana mereka secara penuh." Perusahaan tersebut menekankan bahwa infrastruktur inti dan pasar on-chain miliknya tidak diretas, dengan titik lemah terletak pada penyedia pihak ketiga yang kodenya disajikan melalui situs web Polymarket.
Perusahaan keamanan blockchain Peckshield memperkirakan kerugian mencapai sekitar $3 juta yang dikuras dari lebih dari 11 korban. Selain itu, serangan ini merupakan contoh klasik dari kompromi rantai pasokan, di mana penyerang menargetkan vendor tepercaya untuk menjangkau platform yang lebih besar, alih-alih menyerang sistem platform tersebut secara langsung.
Karena kode berbahaya tersebut berada di frontend situs web, bukan di smart contract yang mendasarinya, eksploitasi tersebut menyerang lapisan yang sebenarnya berinteraksi dengan sebagian besar pengguna. Pengunjung yang membuka halaman yang disusupi diminta untuk menandatangani transaksi yang tampak sah, tetapi justru menyerahkan kendali atas aset mereka kepada para penyerang.
Singkatnya, dana yang terkunci di pasar on-chain Polymarket tidak pernah berisiko secara langsung, tetapi pengguna yang menyetujui transaksi palsu tersebut mendapati dompet mereka dikosongkan.
Apa yang Akan Terjadi Selanjutnya
Polymarket menyatakan bahwa mereka sedang menghubungi para korban satu per satu sambil memproses pengembalian dana dengan cepat, menanggung biaya pelanggaran yang berasal dari luar sistem mereka sendiri (langkah yang kemungkinan bertujuan untuk mempertahankan kepercayaan di antara basis pengguna yang berkembang pesat).
Selain itu, insiden ini terjadi di tengah boomingnya pasar prediksi, di mana Polymarket dan pesaingnya, Kalshi, bersama-sama mencatatkan rekor bulanan pada April. Polymarket sendiri telah memproses lebih dari 100 juta transaksi hingga saat ini, menjadikannya salah satu platform paling aktif di dunia kripto.
Skala pertumbuhan ini tidak luput dari perhatian para pengamat, sehingga platform tersebut baru-baru ini menerapkan alat pemantauan Chainalysis untuk mengawasi integritas pasar. Di sisi lain, para pembuat undang-undang AS telah menyelidiki pasar prediksi terkait perlindungan terhadap perdagangan orang dalam, dengan salah satu rancangan undang-undang dari Partai Republik yang berupaya melarang anggota Kongres dan keluarga mereka bertaruh pada hasil kebijakan.
Insiden pada bulan Juni tersebut menambah masalah keamanan operasional ke dalam daftar kekhawatiran tersebut. Dan, meskipun janji pengembalian dana mungkin dapat membatasi kerusakan reputasi, kenyataannya tetap bahwa pasar prediksi, sama seperti bursa dan protokol DeFi, kini dipandang sebagai jalur yang menguntungkan bagi penyerang yang canggih.
Artikel ini diterjemahkan dari bahasa Inggris menggunakan AI. Versi asli berbahasa Inggris adalah sumber yang berwenang; terjemahan otomatis dapat mengandung ketidakakuratan, terutama dalam terminologi hukum dan peraturan.
