Pelajari pelanggaran keamanan di Polymarket akibat celah dari pihak ketiga yang menyebabkan akun pengguna terekspos kepada peretas. Ketahui cara penyerang mengeksploitasi kelemahan platform hingga aset terkuras, serta langkah keamanan proaktif untuk menjaga kripto Anda di prediction market. Pastikan aset digital Anda aman dengan strategi perlindungan menyeluruh. Temukan wawasan kunci tentang risiko keamanan prediction market dan tindakan pencegahan yang perlu diambil sekarang juga!
Polymarket, platform pasar prediksi, mengonfirmasi pada 24 Desember 2025 bahwa celah keamanan pada layanan otentikasi pihak ketiga telah dimanfaatkan penyerang untuk mengakses dan menguras akun pengguna. Pelanggaran ini menjadi titik kritis dalam lanskap risiko keamanan pasar prediksi, khususnya bagi pengguna yang memilih login berbasis email daripada koneksi dompet langsung. Kejadian ini menyoroti kelemahan mendasar pada platform keuangan terdesentralisasi yang mengintegrasikan penyedia otentikasi eksternal tanpa protokol isolasi yang memadai.
Sistem otentikasi yang terganggu—dilaporkan oleh banyak pengguna sebagai melibatkan Magic Labs—memproses login "magic link" berbasis email dan menghasilkan dompet Ethereum non-custodial. Pengguna yang membuka akun melalui layanan tersebut menemukan beberapa upaya login tidak sah, diikuti pengurasan aset secara total dari akun mereka. Banyak pengguna melaporkan menerima notifikasi upaya login melalui media sosial sebelum saldo USDC mereka hampir habis. Kerentanan ini tetap terbuka cukup lama sehingga penyerang dapat secara sistematis mengidentifikasi dan mengeksploitasi akun-akun terdampak di seluruh platform. Protokol inti Polymarket tetap terlindungi selama insiden, dengan pelanggaran hanya terjadi pada lapisan otentikasi pihak ketiga. Perbedaan ini sangat penting dalam memahami risiko platform pasar prediksi, karena membuktikan bahkan sistem terdesentralisasi dapat mengalami kompromi serius akibat ketergantungan pada layanan terpusat. Seluruh pola kompromi akun pengguna terdampak konsisten, semuanya berasal dari jalur otentikasi yang sama, sehingga peneliti keamanan dan pihak platform dapat segera mengidentifikasi vektor serangan spesifik.
Cara Penyerang Mengeksploitasi Kerentanan Polymarket untuk Menguras Akun Pengguna
Penyerang memanfaatkan celah otentikasi pihak ketiga melalui proses eksploitasi bertahap yang dapat melewati perlindungan keamanan standar. Kerentanan pada sistem login berbasis email ini memungkinkan pelaku memperoleh akses ilegal ke akun pengguna tanpa memicu mekanisme deteksi penipuan yang komprehensif. Pengguna melaporkan menerima notifikasi upaya login berurutan, menandakan penyerang menggunakan kompromi kredensial atau intersepsi token otentikasi untuk mendapat akses awal. Setelah berhasil login tidak sah, pelaku segera melakukan transfer aset dengan hambatan minimal, menguras saldo USDC langsung dari dompet pengguna yang terhubung dengan akun Polymarket mereka.
Mekanisme teknis serangan memperlihatkan kelemahan penting dalam penerapan otentikasi pihak ketiga oleh Polymarket. Sistem "magic link" yang dirancang demi kemudahan dan aksesibilitas pengguna justru membuka jalan bagi penyerang melewati otentikasi multi-faktor pada konfigurasi tertentu. Salah satu pengguna terdampak menerima notifikasi otentikasi dua faktor email saat insiden, menunjukkan pelaku memiliki hak akses cukup untuk melewati lapisan verifikasi standar. Dana dipindahkan melalui banyak alamat kripto secara cepat, dengan analisis on-chain menunjukkan aset yang dicuri langsung dipecah dan dialirkan ke berbagai dompet untuk menyamarkan asal-usulnya. Kecepatan transaksi—dalam hitungan menit setelah kompromi akun—mengindikasikan penyerang menggunakan proses otomatis terencana, bukan transfer manual. Tingkat kecanggihan ini menandakan kampanye serangan terorganisir yang secara spesifik menargetkan kerentanan platform pasar prediksi, bukan sekadar pengambilalihan akun secara acak. Tidak adanya persetujuan eksplisit untuk transfer aset menegaskan kerentanan otentikasi memberikan akses penuh ke akun, sehingga penyerang dapat bertransaksi layaknya pemilik sah. Investigasi Polymarket mengonfirmasi bahwa kerentanan sepenuhnya berasal dari infrastruktur penyedia pihak ketiga, bukan dari sistem inti atau smart contract platform.
Kegagalan Keamanan Kritis: Faktor Penyebab dan Tanda yang Terlewat Pengguna
Beragam kegagalan keamanan yang saling memperburuk menyebabkan insiden ini merugikan banyak akun pengguna. Polymarket tidak menerapkan pemantauan dan segmentasi memadai pada layanan otentikasi pihak ketiga, sehingga celah tetap bisa dieksploitasi dalam waktu lama sebelum terdeteksi. Platform juga tidak membangun pemisahan cukup antara sistem otentikasi dan mekanisme transfer aset, sehingga pelanggaran pada satu lapisan berdampak langsung ke dana pengguna. Selain itu, protokol penanganan insiden Polymarket tidak jelas dalam aspek notifikasi pengguna, prosedur pemulihan akun, dan mekanisme kompensasi saat insiden berlangsung.
| Kategori Kegagalan Keamanan |
Dampak terhadap Pengguna |
Metode Pencegahan |
| Verifikasi vendor pihak ketiga yang lemah |
Celah tidak terdeteksi pada lapisan otentikasi |
Audit keamanan menyeluruh terhadap seluruh penyedia pihak ketiga |
| Segmentasi akses tidak memadai |
Kompromi akun total akibat bypass otentikasi tunggal |
Syarat otorisasi multi-lapisan untuk transfer dana |
| Sistem pemantauan lemah |
Jendela eksploitasi berlangsung lama sebelum terdeteksi |
Deteksi anomali secara real-time pada pergerakan dana |
| Notifikasi pengguna lambat |
Pengguna tidak dapat melakukan aksi perlindungan saat insiden berlangsung |
Sistem peringatan otomatis untuk aktivitas login mencurigakan |
| Prosedur pemulihan tidak jelas |
Pengguna terdampak tidak mengetahui jalur pemulihan dana |
Protokol terstruktur dengan komunikasi transparan |
Banyak pengguna juga melewatkan tanda peringatan penting yang bisa mencegah atau memperkecil kerugian. Sebagian mengakui menerima notifikasi upaya login, namun tidak segera mengganti kredensial atau mengaktifkan fitur keamanan tambahan. Beberapa pengguna hanya mengandalkan otentikasi dua faktor berbasis email, tanpa menyadari bahwa lapisan ini dapat ditembus jika layanan otentikasi dasar dikompromikan. Pengguna yang mendaftar lewat layanan pihak ketiga tanpa kontrol langsung atas dompet menerima risiko kustodian yang tidak perlu dari metode berbasis email. Rekomendasi komunitas untuk selalu menggunakan koneksi hardware wallet atau solusi kustodi mapan kurang diikuti oleh pengguna yang mengutamakan kepraktisan dibanding protokol keamanan. Banyak trader di platform pasar prediksi bertransaksi cepat di banyak posisi dan akun, sehingga kadang mengabaikan risiko keamanan dari mekanisme login yang dipilih. Insiden ini membuktikan bahwa bahkan investor kripto yang berpengalaman pun bisa melewatkan prinsip dasar keamanan saat fokus pada aktivitas trading daripada perlindungan akun.
Bagi investor kripto yang masih aktif di pasar prediksi, langkah pengamanan segera sangat krusial untuk melindungi aset dari akses ilegal. Tindakan terpenting adalah segera beralih dari sistem otentikasi berbasis email. Jika Anda memiliki akun di platform pasar prediksi, gunakan koneksi dompet langsung melalui hardware wallet seperti Ledger atau Trezor, bukan layanan otentikasi perantara. Metode ini menutup celah yang biasa dimanfaatkan penyedia otentikasi pihak ketiga. Bagi Anda yang belum bisa migrasi dari akun email, aktifkan semua fitur keamanan—termasuk otentikasi dua faktor lewat aplikasi authenticator, bukan SMS atau email—karena otentikasi dua faktor berbasis email tetap bisa ditembus lewat kerentanan yang sama seperti insiden ini.
Lakukan audit menyeluruh atas aktivitas akun trading Anda di semua platform pasar prediksi, pantau transaksi tidak sah, posisi tertutup, atau perpindahan aset tanpa sepengetahuan Anda. Telusuri riwayat transaksi akun dan pastikan setiap trading, deposit, serta penarikan adalah aktivitas Anda sendiri. Jika menemukan aktivitas mencurigakan, segera hubungi tim keamanan platform dan simpan catatan transaksi untuk proses pemulihan atau pelaporan ke regulator. Terapkan pembatasan geografis atau IP address bila didukung platform, agar penyerang dari lokasi berbeda tidak dapat mengakses akun walau sudah memiliki kredensial. Jika saldo akun besar, pindahkan mayoritas aset ke cold storage atau solusi kustodi mandiri saat tidak aktif trading—gunakan platform pasar prediksi hanya untuk dana yang sedang diperdagangkan. Perlakukan Polymarket dan platform sejenis sebagai antarmuka trading, bukan tempat penyimpanan aset. Rutin tinjau metode otentikasi dan kredensial, ganti password tiap tiga bulan dan segera setelah insiden seperti 24 Desember 2025. Gunakan sistem notifikasi email untuk percobaan akses atau pemulihan akun sebagai lapisan ekstra deteksi. Pertimbangkan email khusus untuk akun kripto, terpisah dari email utama, sehingga jika kompromi terjadi dampaknya terbatas. Jika memakai layanan seperti Gate untuk trading atau manajemen akun, pastikan integrasi memakai autentikasi terkuat dan transparan soal praktik data. Pantau kanal media sosial, forum komunitas, dan pengumuman resmi platform untuk update keamanan atau pengungkapan kerentanan, karena informasi terkini tentang risiko platform sangat menentukan perlindungan dan keamanan akun Anda.
* Informasi ini tidak bermaksud untuk menjadi dan bukan merupakan nasihat keuangan atau rekomendasi lain apa pun yang ditawarkan atau didukung oleh Gate.
