Polymarket mengatakan akan sepenuhnya mengganti kerugian pengguna setelah skrip vendor yang disusupi menguras sekitar $3 juta dari kurang dari 15 akun.
Poin-Poin Utama:
- Polymarket mengatakan kompromi vendor pihak ketiga menyuntikkan kode berbahaya ke dalam frontend-nya.
- Peneliti keamanan melacak sekitar $3 juta kerugian di kurang dari 15 akun yang terdampak.
- Pelanggaran ini mengikuti insiden dompet admin terpisah yang tidak memengaruhi dana pengguna.
Peretasan Polymarket
Polymarket mengonfirmasi pada hari Jumat bahwa penyerang menggunakan vendor pihak ketiga yang dikompromikan untuk menempatkan kode berbahaya di frontend-nya, mengekspos beberapa pengguna pada serangan penguras dompet.
Pelanggaran tersebut pertama kali ditandai oleh peneliti keamanan on-chain Specter, yang mengatakan kampanye phishing tampak telah menguras dana dari lebih dari 11 dompet yang memegang PUSD (PUSD), stablecoin Polymarket.
Specter memperkirakan kerugian sebesar $2,94 juta, sementara PeckShield kemudian mengonfirmasi angka serupa dan mengatakan penyerang menjembatani dana dari Polygon (POL) ke Ethereum (ETH), lalu mengonversinya menjadi 1.893 ETH.
Platform tersebut mengakui pelanggaran itu melalui akun Polymarket Traders di X, dengan mengatakan dependensi yang terdampak telah dihapus dan bahwa pengguna yang terkena dampak akan dihubungi secara langsung.
“Pagi ini kami menemukan vendor pihak ketiga telah dikompromikan, menyuntikkan skrip berbahaya ke dalam frontend kami untuk beberapa pengguna. Kami telah mengendalikannya dan menghapus dependensi yang terdampak,” tulisnya. “Kami menghubungi pengguna terdampak dan mengganti kerugian mereka sepenuhnya.”
Juga Baca: Co-Founder Anthropic Mengatakan Guncangan Pekerjaan Nyata Pertama dari AI Menimpa Lulusan
Dampak Keamanan
William LeGate, yang bekerja dekat dengan platform tersebut, mengulangi bahwa masalahnya telah diselesaikan dan mengatakan pengguna terdampak akan menerima kompensasi penuh.
GoPlus Security menggambarkan insiden itu sebagai serangan rantai pasokan, dengan mengatakan sekitar 15 akun terdampak dan total kerugian mencapai $3 juta.
Bubblemaps sampai pada kesimpulan luas yang sama dan memuji respons Polymarket setelah dana terkuras dan eksploitasi berhasil dikendalikan.
Pelanggaran terbaru ini menambah tekanan karena mengikuti insiden lain bulan lalu, ketika dompet admin yang digunakan untuk top-up hadiah karyawan kehilangan sekitar $700.000, kemungkinan melalui kompromi kunci privat.
Detektif kripto ZachXBT pertama kali memperkirakan kerugian sebelumnya sekitar $520.000, sebelum Bubblemaps kemudian menyebut angka yang lebih tinggi setelah melacak dana di beberapa alamat.
Pengembang Josh Stevens mengatakan kunci privat berusia 6 tahun telah terekspos melalui konfigurasi internal, setelah itu perusahaan merotasi kredensial dan beralih ke layanan manajemen kunci.
Kedua pelanggaran tersebut memengaruhi sistem di sekitar pasar prediksi, bukan pasarnya sendiri, tetapi terjadi pada periode sulit bagi perusahaan. Wall Street Journal baru-baru ini melaporkan bahwa Polymarket membayar kreator seusia mahasiswa $2.000 hingga $3.000 per bulan untuk mengunggah video taruhan yang dibuat-buat, dan seorang trader lain mengklaim bulan ini bahwa perubahan aturan yang terkait dengan pasar penjualan Bitcoin Strategy membuat mereka merugi $500.000.
Baca Selanjutnya: Peretas BlueNoroff Korea Utara Menggunakan Panggilan Zoom Palsu yang Dihasilkan AI untuk Membobol 100 Eksekutif Kripto