Baru saja melihat kasus Polymarket yang diserang hacker dan diduga bocornya data, agak menarik. Dikatakan ada yang mengklaim telah mencuri lebih dari 300.000 catatan, termasuk nama pengguna, avatar, alamat dompet, dan sejenisnya, tetapi Polymarket langsung membantah bahwa itu omong kosong karena data tersebut sudah dipublikasikan di internet sejak lama.

Ada poin yang cukup menarik di sini—Polymarket mengatakan data mereka sebenarnya sudah ada di blockchain, sepenuhnya transparan dan dapat diaudit, ini bukan celah keamanan, melainkan fitur desain. Pengembang dan pengguna dapat mengakses informasi yang sama melalui API gratis, jadi tidak perlu hacker untuk "mencuri". Para peneliti keamanan juga mendukung pendapat ini, menganggap bahwa mungkin data hanya di-parse ulang, bukan benar-benar terjadi peretasan database.

Namun, kejadian ini juga mencerminkan masalah lama di dunia kripto—bagaimana menyeimbangkan transparansi di blockchain dengan privasi pengguna. Bahkan secara teknis data memang terbuka, menggabungkan nama pengguna, avatar, alamat dompet, dan informasi sensitif lainnya secara terbuka tetap bisa menimbulkan kekhawatiran privasi. Hacker mengatakan mereka memanfaatkan endpoint API yang tidak terdokumentasi dan konfigurasi yang salah, bagian ini mungkin adalah masalah utama.

Polymarket juga menyebutkan bahwa mereka meluncurkan program bug bounty pada pertengahan April, dan sudah menerima lebih dari 400 laporan. Tampaknya platform ini aktif merespons, tetapi apakah insiden hacker ini bisa diselesaikan tergantung pada pengungkapan detail teknis dan kecepatan perbaikan selanjutnya. Bagaimanapun, akhir-akhir ini kejadian keamanan Web3 sering terjadi, semua harus lebih berhati-hati.