Polymarket mengatakan akan sepenuhnya mengganti kerugian pengguna setelah skrip vendor yang dikompromikan menguras sekitar $3 juta dari kurang dari 15 akun.
Poin Penting:
- Polymarket mengatakan kompromi vendor pihak ketiga menyuntikkan kode berbahaya ke frontend-nya.
- Peneliti keamanan melacak sekitar $3 juta kerugian di kurang dari 15 akun yang terdampak.
- Pelanggaran ini terjadi setelah insiden dompet admin terpisah yang tidak memengaruhi dana pengguna.
Peretasan Polymarket
Polymarket mengonfirmasi pada hari Jumat bahwa penyerang menggunakan vendor pihak ketiga yang dikompromikan untuk menempatkan kode berbahaya di frontend-nya, mengekspos beberapa pengguna pada serangan pengurasan dompet.
Pelanggaran itu pertama kali ditandai oleh peneliti keamanan on-chain Specter, yang mengatakan kampanye phishing tampak jelas telah menguras dana dari lebih dari 11 dompet yang memegang PUSD (PUSD), stablecoin milik Polymarket.
Specter memperkirakan kerugian sebesar $2,94 juta, sementara PeckShield kemudian mengonfirmasi angka serupa dan mengatakan penyerang menjembatani dana dari Polygon (POL) ke Ethereum (ETH), lalu mengonversinya menjadi 1.893 ETH.
Platform tersebut mengakui pelanggaran melalui akun Polymarket Traders di X, dengan mengatakan dependensi yang terdampak telah dihapus dan pengguna yang terkena dampak akan dihubungi secara langsung.
“Pagi ini kami menemukan vendor pihak ketiga telah dikompromikan, menyuntikkan skrip berbahaya ke frontend kami untuk beberapa pengguna. Kami telah mengendalikannya dan menghapus dependensi yang terdampak,” tulis mereka. “Kami menghubungi pengguna yang terdampak dan mengganti mereka sepenuhnya.”
Juga Baca: Co-Founder Anthropic Sebut Guncangan Pekerjaan Nyata Pertama dari AI Menimpa Lulusan
Dampak Keamanan
William LeGate, yang bekerja dekat dengan platform tersebut, menegaskan kembali bahwa masalah telah diselesaikan dan mengatakan pengguna yang terdampak akan menerima kompensasi penuh.
GoPlus Security menggambarkan insiden ini sebagai serangan rantai pasok, dengan menyatakan sekitar 15 akun terdampak dan kerugian total mencapai $3 juta.
Bubblemaps mencapai kesimpulan luas yang sama dan memuji respons Polymarket setelah dana dikuras dan celah eksploitasi berhasil dikendalikan.
Pelanggaran terbaru ini menambah tekanan karena menyusul insiden lain bulan lalu, ketika dompet admin yang digunakan untuk top-up hadiah karyawan kehilangan sekitar $700.000, kemungkinan melalui kompromi kunci privat.
Detektif kripto ZachXBT awalnya memperkirakan kerugian sebelumnya sekitar $520.000, sebelum Bubblemaps kemudian mengutip angka yang lebih tinggi setelah melacak dana di beberapa alamat.
Pengembang Josh Stevens mengatakan kunci privat berusia 6 tahun telah terekspos melalui konfigurasi internal, setelah itu perusahaan merotasi kredensial dan beralih ke layanan manajemen kunci.
Kedua pelanggaran tersebut memengaruhi sistem di sekitar pasar prediksi, bukan pasarnya secara langsung, tetapi terjadi pada periode sulit bagi perusahaan. Wall Street Journal baru-baru ini melaporkan bahwa Polymarket membayar kreator berusia kuliah $2.000 hingga $3.000 per bulan untuk memposting video taruhan yang direkayasa, dan seorang trader lain mengklaim bulan ini bahwa perubahan aturan terkait pasar penjualan Bitcoin Strategy membuat mereka merugi $500.000.
Baca Selanjutnya: Peretas BlueNoroff Korea Utara Gunakan Panggilan Zoom Palsu Berbasis AI untuk Menembus 100 Eksekutif Kripto





