Sebuah platform pasar prediksi terdesentralisasi, Polymarket, mengonfirmasi pada 25 Desember bahwa dana milik sejumlah pengguna telah dicuri dan saldo akun mereka lenyap akibat kerentanan keamanan pada penyedia autentikasi pihak ketiga. Para pengguna yang terdampak umumnya mendaftar melalui Magic Labs, sebuah layanan yang memungkinkan pengguna masuk dengan alamat email dan secara otomatis membuat dompet Ethereum non-kustodian.
Kerentanan ini berhasil melewati langkah-langkah keamanan standar seperti autentikasi dua faktor, sehingga memicu kekhawatiran luas di pasar terkait keamanan integrasi pihak ketiga pada platform kripto.
01 Ikhtisar Insiden: Risiko Aset Akibat Kerentanan Pihak Ketiga
Pencurian aset yang dialami pengguna Polymarket bukan berasal dari kelemahan pada kontrak pintar inti platform. Sebaliknya, insiden ini terjadi akibat cacat keamanan pada penyedia autentikasi pihak ketiga yang digunakan oleh platform.
Dalam kanal Discord resminya, platform menyatakan: "Baru-baru ini kami menemukan dan menyelesaikan masalah keamanan yang memengaruhi sejumlah kecil pengguna, yang disebabkan oleh kerentanan pada penyedia autentikasi pihak ketiga."
Meskipun platform mengklaim masalah telah diperbaiki dan tidak ada risiko berkelanjutan, jumlah pasti pengguna yang terdampak dan total kerugian belum diungkapkan. Minimnya informasi ini memicu kekhawatiran di komunitas terkait skala dan tingkat keparahan insiden yang sebenarnya.
02 Proses Serangan: Rekonstruksi Kasus Pengguna Umum
Menurut laporan pengguna di media sosial, insiden keamanan ini menunjukkan pola yang jelas.
Seorang pengguna Reddit merinci pengalamannya: "Pagi ini saya menerima tiga notifikasi tentang upaya login ke Polymarket—perangkat saya tidak terkompromi, Google tidak mendeteksi aktivitas mencurigakan, dan semua layanan lain saya normal."
Namun, saat ia masuk ke Polymarket, ia mendapati semua transaksi telah ditutup dan saldo akunnya hanya tersisa $0,01. Artinya, dompetnya hampir sepenuhnya terkuras.
Pengguna lain melaporkan pengalaman serupa. Meski tidak mengklik tautan mencurigakan dan telah mengaktifkan autentikasi dua faktor di email, mereka tetap tidak bisa mencegah penyerang mengosongkan akun setelah menerima tiga notifikasi upaya login.
03 Pengguna Terdampak: Pendaftar Magic Labs Jadi Target
Korban insiden keamanan ini memiliki kesamaan: sebagian besar mendaftar akun Polymarket melalui Magic Labs.
Magic Labs adalah layanan login pihak ketiga yang dirancang untuk pendatang baru di dunia kripto. Layanan ini memungkinkan pengguna masuk hanya dengan alamat email, dan sistem secara otomatis membuat dompet Ethereum non-kustodian di belakang layar. Meski desain ini sangat menurunkan hambatan masuk ke kripto, hal ini juga membuka celah serangan baru.
Para penyerang tampaknya berhasil melewati autentikasi multi-faktor, bukan dengan metode phishing atau malware tradisional untuk mengkompromikan perangkat pengguna. Hal ini menimbulkan kekhawatiran serius bahwa layanan autentikasi pihak ketiga bisa menjadi titik kegagalan tunggal.
04 Respons Platform: Kurangnya Kejelasan Memicu Keraguan
Respons Polymarket terhadap insiden ini menunjukkan kecenderungan menahan informasi, sehingga menimbulkan lebih banyak pertanyaan daripada jawaban.
Pertama, platform hanya menyatakan secara samar bahwa "sejumlah kecil pengguna" terdampak, tanpa memberikan angka atau persentase spesifik. Kedua, jumlah total dana yang dicuri tidak diungkapkan, sehingga komunitas tidak dapat menilai tingkat keparahan insiden. Ketiga, Polymarket tidak secara eksplisit menyebut penyedia pihak ketiga yang terlibat, meski komunitas luas menduga Magic Labs.
Dari sisi teknis, Polymarket mengklaim masalah telah "diselesaikan" namun tidak menjelaskan perbaikan spesifik yang diterapkan.
Beberapa anggota komunitas mencatat bahwa setelah insiden, Polymarket tampak memperpanjang panjang kode OTP dari tiga digit menjadi enam, tetapi perusahaan belum memberikan komentar publik terkait perubahan ini.
05 Pelajaran Keamanan: Risiko Sistemik Integrasi Pihak Ketiga
Ini bukan kali pertama Polymarket menghadapi insiden keamanan akibat layanan pihak ketiga. Pada September 2024, beberapa pengguna yang masuk melalui akun Google melaporkan dana USDC mereka ditransfer ke alamat phishing.
Bulan lalu, kampanye phishing yang memanfaatkan kolom komentar platform menyebabkan kerugian pengguna lebih dari $500.000. Insiden-insiden ini menyoroti tantangan umum bagi platform kripto: meski kontrak pintar inti aman, ketergantungan pada layanan pihak ketiga tetap dapat menciptakan celah keamanan.
Analis industri menekankan bahwa ketika pengguna bergantung pada infrastruktur autentikasi terpadu yang tidak dikendalikan langsung oleh platform inti, sistem yang terintegrasi menjadi sangat rentan terhadap serangan.
06 Tindakan Pengguna: Tips Praktis Perlindungan Aset
Bagi pengguna kripto, insiden Polymarket memberikan pelajaran keamanan yang penting.
Saran paling langsung adalah menghindari opsi login pihak ketiga dan sebaiknya menghubungkan ke platform menggunakan dompet di mana Anda memegang kendali atas private key. Meski ini meningkatkan hambatan masuk, cara ini tetap menjadi metode terbaik untuk menjaga keamanan aset hingga platform mampu membuktikan integrasi layanan pihak ketiga secara aman.
Pengguna sebaiknya rutin meninjau aktivitas akun, mengaktifkan semua fitur keamanan yang tersedia, dan waspada terhadap upaya login yang tidak biasa. Menyebar aset di beberapa platform, daripada menumpuk dana di satu tempat, juga merupakan strategi mitigasi risiko yang bijak.
Dengan rencana Polymarket untuk bermigrasi dari Polygon dan meluncurkan jaringan Ethereum Layer 2 miliknya, pengguna perlu ekstra waspada terhadap keamanan aset selama masa transisi.
Menatap Masa Depan
Per 25 Desember, total volume perdagangan Polymarket telah mencapai $1,538 miliar, dengan 419.309 pengguna aktif bulanan. Ketika pengguna terbangun dan mendapati saldo akunnya hanya tersisa $0,01, insiden ini bukan lagi sekadar gangguan teknis—melainkan ujian serius terhadap arsitektur keamanan seluruh ekosistem kripto.
Keamanan dana pengguna tetap menjadi fondasi utama operasional platform Gate. Seiring industri kripto menghadapi tantangan keamanan yang semakin kompleks, Gate terus memperkuat infrastruktur keamanannya dan menyediakan beragam lapisan perlindungan aset bagi para pengguna.
