Polymarket Ungkap Pencurian US$2,9 Juta Lewat Phishing di Frontend, Pengguna Akan Diganti Ruginya

Polymarket melaporkan insiden keamanan yang menyebabkan dana terkuras dari sedikitnya 11 dompet pengguna setelah penyerang menyusupkan kode berbahaya ke tampilan situs (frontend). Analis blockchain Specter menyebut serangan bermula dari kompromi vendor pihak ketiga yang dipakai platform, sehingga skrip berbahaya bisa disuntikkan ke antarmuka pengguna dan memicu alur phishing. Berdasarkan analisis Specter atas aktivitas pengurasan dana yang terkait dengan antarmuka yang terkompromi, nilai kerugian diperkirakan sekitar US$2,94 juta. Skema phishing tersebut diduga mendorong pengguna menandatangani atau menyetujui tindakan yang memindahkan dana, alih-alih menjalankan transaksi yang dimaksud. Polymarket menyatakan insiden sudah berhasil dikendalikan, dependensi yang terdampak telah dihapus, dan seluruh pengguna yang terkena akan menerima penggantian penuh. Platform juga menyampaikan pembaruan tersebut melalui X. Cointelegraph dilaporkan telah meminta komentar tambahan, tetapi belum menerima respons hingga artikel terbit. Kasus ini muncul di tengah lonjakan insiden keamanan kripto. Data DefiLlama mencatat kuartal kedua menjadi periode dengan jumlah peretasan terbanyak sepanjang catatan mereka berdasarkan jumlah kejadian. Untuk Juni, total kerugian akibat eksploit di ekosistem kripto mencapai US$74,9 juta dari 29 insiden yang dilaporkan, naik dari US$60,5 juta pada Mei. Meski meningkat, angka Juni masih jauh di bawah puncak April yang mencapai US$644 juta, menegaskan volatilitas kerugian bulanan tahun ini. Rincian DefiLlama juga menyoroti beberapa insiden besar pada Juni: eksploit Humanity Protocol senilai US$36 juta menjadi yang terbesar, disusul eksploit bridge Secret Network sebesar US$4,7 juta, dua eksploit terpisah pada Aztec masing-masing US$2,1 juta, serta eksploit bridge Taiko sebesar US$1,7 juta. Rangkaian kejadian tersebut kembali menegaskan bahwa sistem bridge lintas-chain dan integrasi protokol yang kompleks kerap menjadi titik konsentrasi kerugian ketika ada celah atau komponen rantai pasok (supply chain) yang terkompromi. Untuk 30 hari terakhir, DefiLlama membagi kerugian berdasarkan teknik serangan: kompromi private key menjadi kontributor terbesar dengan porsi 43%, diikuti eksploit "fake proof" sebesar 10% dan reverse MEV honeypots sebesar 8%. Insiden Polymarket sendiri dikategorikan Specter sebagai injeksi pada frontend yang berujung phishing, yang dalam praktiknya bisa beririsan dengan kegagalan keamanan di level pengguna, bukan semata kerentanan on-chain. Polymarket memiliki riwayat insiden lain dalam waktu dekat. Sekitar sebulan sebelumnya, pasar prediksi tersebut mengungkap eksploit terpisah senilai US$600.000 yang terkait private key berusia enam tahun yang dipakai untuk operasi top-up internal. Saat itu, Wakil Presiden Engineering Polymarket, Josh Stevens, menyatakan kontrak dan dana pengguna tetap aman, serta izin yang terkait kunci tersebut sudah dicabut. Ke depan, pengguna Polymarket disarankan mewaspadai potensi penipuan lanjutan yang dapat memanfaatkan halaman cache, skrip pihak ketiga, atau upaya susulan yang menargetkan persetujuan (approval) pengguna. Dari sisi pasar, pelaku industri juga akan memantau apakah laju insiden kuartal kedua berlanjut serta apakah porsi kasus bergaya phishing meningkat seiring dominasi kompromi private key.