Polymarket Mengkonfirmasi Peretas Menguras $3 Juta dari Pengguna Setelah Pelanggaran Pihak Ketiga

Platform pasar prediksi Polymarket mengatakan peretas mencuri sekitar $3 juta dari pengguna setelah vendor pihak ketiga dikompromikan dan kode berbahaya disuntikkan ke situs webnya. Insiden ini telah sepenuhnya dikendalikan, dan pengembalian dana sedang dimulai untuk pengguna yang terkena dampak secara penuh.

• Poin Penting:
• • Polymarket mengatakan peretas mencuri sekitar $3 juta dari lebih dari 11 pengguna melalui vendor pihak ketiga yang dikompromikan.
• • Peckshield melacak eksploitasi tersebut ke kode frontend berbahaya yang melakukan phishing kepada pengguna untuk menyetujui transaksi penipuan.
• • Polymarket telah menyatakan bahwa mereka mengembalikan dana korban secara penuh saat pasar prediksi menghadapi pengawasan keamanan dan regulasi yang semakin ketat.

Serangan Rantai Pasok, Bukan Pelanggaran Langsung

Polymarket mengungkapkan bahwa kompromi pada salah satu penyedia luar mereka memungkinkan penyerang menyelipkan kode berbahaya ke dalam frontend mereka untuk beberapa pengguna. Skrip yang dirusak tersebut menjalankan kampanye phishing yang menipu korban untuk menyetujui transaksi penipuan, yang kemudian menguras dana dari dompet yang terhubung.

“Kami telah mengendalikan insiden ini,” kata Polymarket, seraya menambahkan bahwa mereka menghapus dependensi yang terpengaruh dan “mengembalikan dana mereka secara penuh.” Perusahaan menekankan bahwa infrastruktur inti dan pasar onchain miliknya sendiri tidak dilanggar, dengan titik lemahnya adalah pemasok pihak ketiga yang kodenya disajikan melalui situs web Polymarket.

Perusahaan keamanan blockchain Peckshield memperkirakan kerugian sekitar $3 juta yang dikuras dari lebih dari 11 korban. Selain itu, serangan ini adalah kompromi rantai pasok klasik, di mana lawan menargetkan vendor tepercaya untuk mencapai platform yang lebih besar daripada menyerang sistem platform itu secara langsung.

Sumber gambar: X Karena kode berbahaya berada di frontend situs web, bukan di kontrak pintar yang mendasarinya, eksploitasi tersebut mengenai lapisan yang paling sering berinteraksi dengan pengguna. Pengunjung yang memuat halaman yang dikompromikan diminta untuk menandatangani transaksi yang tampak sah tetapi malah menyerahkan kendali aset mereka kepada penyerang.

Singkatnya, dana yang terkunci di pasar onchain Polymarket tidak pernah berada dalam risiko langsung, tetapi pengguna yang menyetujui transaksi palsu tersebut melihat dompet mereka dikosongkan.

Apa yang Terjadi Selanjutnya

Polymarket mengatakan mereka menghubungi korban satu per satu saat memproses pengembalian dana dengan cepat, menyerap biaya dari pelanggaran yang berasal dari luar sistem mereka sendiri (langkah yang kemungkinan bertujuan menjaga kepercayaan di antara basis pengguna yang berkembang pesat).

Selain itu, pelanggaran ini terjadi saat pasar prediksi sedang booming, dengan Polymarket dan pesaing Kalshi bersama-sama mendorong rekor bulan pada April. Polymarket sendiri telah memproses lebih dari 100 juta perdagangan hingga saat ini, menjadikannya salah satu venue paling aktif di kripto.

Skala pertumbuhan ini tidak luput dari perhatian pengamat, sehingga platform baru-baru ini menerapkan alat pengawasan Chainalysis untuk memantau integritas pasar. Secara paralel, pembuat undang-undang AS telah menyelidiki pasar prediksi terkait perlindungan perdagangan orang dalam, dengan satu RUU dari Partai Republik berupaya melarang anggota Kongres dan keluarga mereka bertaruh pada hasil kebijakan.

Insiden Juni ini menambah keamanan operasional ke dalam daftar kekhawatiran tersebut. Dan, meskipun janji pengembalian dana dapat membatasi kerusakan reputasi, kenyataannya tetap bahwa pasar prediksi, seperti halnya bursa dan protokol DeFi, kini dipandang sebagai jalur yang menguntungkan bagi penyerang yang canggih.