Polymarket Dihantam $700K Eksploit: Apa yang Kita Ketahui Dan Mengapa Para Ahli Katakan Itu Bisa Lebih Buruk

Polymarket diserang sebelumnya pada hari Jumat setelah sebuah exploit kontrak menguras lebih dari $600.000 dalam kripto.
Meskipun ukuran pencurian tersebut, beberapa analis keamanan menekankan bahwa dana pengguna dan hasil pasar tidak terpengaruh

Seorang ahli bahkan berpendapat bahwa insiden tersebut bisa jauh lebih buruk jika kontrol tambahan dalam kontrak yang dikompromikan telah digunakan.

Serangan Polymarket

Menurut temuan detektif on-chain ZacXBT tentang masalah ini, dia menandai sebuah exploit yang diduga melibatkan kontrak UMA CTF Adapter Polymarket di Polygon (POL).
Pada saat pelaporan, jumlah total yang terkait dengan exploit tersebut telah meningkat menjadi hampir $700.000

Rincian tentang bagaimana exploit berfungsi kemudian dijelaskan oleh ahli keamanan Ox Abdul. Dalam penjelasannya, poin utama pertama adalah bahwa jumlah USDC—lebih dari $600.000—terlihat sebagai pengurasan satu kali yang diambil dari sebuah dompet tertentu di Polygon, yang diidentifikasi sebagai 0x8F98, Admin UMA CTF Adapter.

Ox Abdul juga menggambarkan bagaimana otomatisasi Polymarket tampaknya berkontribusi pada mekanisme exploit.
Dia mengatakan sistem top-up Polymarket secara berulang mengirim 5.000 POL sekitar setiap 30 detik untuk menjaga dompet gas oracle tetap didanai

Alih-alih mencuri sekali, penyerang menunggu setiap pengisian ulang dan kemudian menyapu sekitar 120 siklus selama sekitar 70 menit, yang dia perkirakan sekitar 600.000 POL

Penting, kerugian POL yang berkelanjutan, dalam akun ini, dikaitkan dengan seberapa cepat deteksi dan respons Polymarket terjadi.
Eksploitasi akhirnya dihentikan setelah kunci-kunci diputar ulang.

Bagaimana Exploit Bisa Lebih Buruk

Setelah menguras pengisian ulang, Ox Abdul mengatakan penyerang kemudian keluar melalui 16 sub-alamat menggunakan ChangeNOW.
Meskipun kerusakan terbatas, dia memperingatkan bahwa situasi tersebut memiliki potensi tanda bahaya di luar pencurian itu sendiri

Dalam pandangannya, dompet admin yang dikompromikan tidak hanya menyimpan USDC dan POL; itu juga membawa hak “resolveManually” di UMA Adapter.
Hak resolusi manual tersebut, dia menjelaskan, dapat melewati oracle dan memungkinkan penyerang memaksa hasil pasar apa pun di Polymarket.

Ox Abdul menjabarkan apa yang bisa terlihat “lebih buruk” secara praktis.
Dia mengatakan penyerang bisa saja mengambil posisi besar di pasar tertentu, kemudian menandai pasar tersebut untuk resolusi manual, menunggu sekitar satu jam jendela keamanan, dan akhirnya menggunakan resolveManually untuk menyelesaikan pasar demi posisi mereka

Setelah insiden, Josh Stevens, seorang pengembang utama di Polymarket, kemudian memberikan konteks tambahan melalui media sosial.
Stevens mengaitkan masalah tersebut dengan kunci pribadi berusia 6 tahun yang dikompromikan, menjelaskan bahwa kunci tersebut termasuk dalam konfigurasi top-up internal—jadi dana dikirim ke kunci tersebut sementara tetap aktif

Dia menambahkan bahwa kunci tersebut telah diputar ulang, semua izin produksi telah dicabut, dan perusahaan sedang memindahkan semua kunci pribadi ke kunci yang dikelola KMS ke depan.

Penyelidikan Federal Diluncurkan

Sementara insiden teknis sedang berlangsung, Polymarket juga menghadapi pengawasan regulasi pada hari Jumat.
Seperti yang dilaporkan Bitcoinist, Rep. James Comer, ketua Komite Pengawasan dan Reformasi Pemerintah DPR, mengumumkan penyelidikan resmi terhadap platform pasar prediksi Polymarket dan Kalshi

Comer mengatakan bahwa komite sedang mencari informasi dari CEO kedua perusahaan mengenai upaya mereka untuk mencegah perdagangan orang dalam di platform mereka

Dalam suratnya, dia meminta dokumen dan rincian tentang bagaimana kedua platform menerapkan verifikasi identitas untuk pemegang akun domestik dan internasional, menegakkan pembatasan geografis, dan mendeteksi aktivitas perdagangan yang mencurigakan untuk membantu mencegah perdagangan orang dalam di seluruh platform global mereka

Dalam perkembangan terpisah, Bloomberg melaporkan bahwa Polymarket telah menunjuk perwakilan di Jepang sambil mempersiapkan lobi untuk otorisasi pasar prediksi di negara tersebut.
Menurut sumber yang dikutip dalam laporan, tujuan Polymarket adalah mendapatkan persetujuan pemerintah di Jepang pada tahun 2030.

Gambar unggulan dibuat dengan OpenArt, grafik dari TradingView.com