Polymarket Diretas 11 Dompet Dirampok $3,1 Juta, Serangan Rantai Pasokan Kedua dalam Enam Bulan

Polymarket mengalami serangan rantai pasokan dengan kerugian mencapai sekitar $3,1 juta, total 11 dompet pengguna dirampok; meskipun platform telah berjanji pengembalian dana penuh beberapa hari sebelumnya, hingga Sabtu pagi belum memberikan tanggapan publik.

(Latar Belakang Sebelumnya: NYT melaporkan Meta sedang mengembangkan aplikasi pasar prediksi "Arena", apakah Zuckerberg iri pada Polymarket?) (Latar Belakang Tambahan: Alarm keamanan DeFi lainnya! Token of Power diretas $1,58 juta, dana hasil kejahatan semuanya masuk ke Tornado Cash)

Pasar prediksi terdesentralisasi Polymarket minggu ini dikejutkan oleh serangan rantai pasokan. Menurut pembaruan perusahaan intelijen blockchain AMLBot di X pada hari Sabtu: total 11 dompet pengguna dirampok, kerugian mencapai sekitar $3,1 juta, dana dalam bentuk token asli platform PUSD, segera dijembatani ke jaringan utama Ethereum melalui Polygon setelah dicuri.

Polymarket Under Attack

Polymarket users were drained of ~$3.1M in PUSD on Polygon via phishing / malicious EIP-7702 delegated execution.

Funds were converted to USDC.e via Relay, bridged to Ethereum, swapped to ETH, and consolidated at… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 Juni 2026

Serangan Rantai Pasokan: Skrip Jahat Disuntikkan dari Frontend

Insiden terjadi pada hari Kamis. Polymarket hari itu dalam pernyataan resmi di X: "Pagi ini ditemukan bahwa vendor pihak ketiga dibobol, menyuntikkan skrip jahat ke frontend sebagian pengguna, telah mengendalikan dan menghapus dependensi yang terpengaruh, sedang menghubungi pengguna yang terdampak dan memberikan pengembalian dana penuh." Platform menekankan bahwa kontrak pintar Polygon sendiri tidak terpengaruh, ini adalah serangan rantai pasokan yang menargetkan antarmuka frontend, pelaku menembus paket dependensi eksternal, bukan logika kontrak.

Korban Ash di X menceritakan bahwa dompetnya diretas tanpa diketahui penyebabnya saat itu, baru menyadari setelahnya bahwa dana telah ditransfer keluar, dan secara terbuka membagikan alamat dompetnya sendiri serta alamat pelaku, menjadi salah satu kasus korban publik pertama.

Platform Berjanji Mengembalikan Dana, Namun Masalah Keamanan Bukan Pertama Kali

William LeGate, tokoh terkait salah satu pendiri Polymarket, secara terbuka menyatakan akan membayar penuh, menekankan bahwa pengguna "tidak akan rugi". Namun, ini bukan pertama kalinya Polymarket menghadapi risiko keamanan.

Penyelidik on-chain ZachXBT pada bulan Maret tahun ini menunjukkan bahwa dua kontrak pintar di Polygon yang diduga terkait dengan Polymarket telah dialihkan lebih dari $520.000, platform saat itu menanggapi bahwa dana aman. Lebih awal pada bulan Desember tahun lalu, setelah pengguna melaporkan kehilangan dana dan login mencurigakan secara bertahap, platform baru mengonfirmasi insiden keamanan di Discord, menyalahkan vendor login pihak ketiga yang tidak dikenal, metode serangan sama persis dengan kali ini: pihak ketiga dibobol, frontend Polymarket menjadi titik loncatan serangan.

Selanjutnya, apakah janji pengembalian dana dapat ditepati, apakah $3,1 juta pelaku dapat dilacak kembali, dan apakah Polymarket akan mengungkapkan detail teknis lengkap kerentanan vendor pihak ketiga, ketiga pertanyaan ini akan menjadi fokus perhatian pasar selanjutnya.