Kunci pribadi yang dikompromikan sejak enam tahun lalu memberi penyerang akses ke dompet hadiah internal Polymarket, mengakibatkan sekitar $700.000 dana dicuri melalui 16 alamat. Platform pasar prediksi yang berjalan di blockchain Polygon mengonfirmasi pelanggaran tersebut tidak memengaruhi setoran pengguna atau hasil pasar.
Bayangkan seperti seseorang yang menemukan kunci cadangan lama dari lemari perlengkapan kantor. Mereka tidak masuk ke brankas, tetapi mereka membersihkan lemari itu dengan sangat teliti.
Bagaimana penurunan itu terjadi
Penyelidik on-chain ZachXBT dan Bubblemaps adalah yang pertama kali menandai aktivitas mencurigakan pada 22 Mei. Perkiraan awal memperkirakan kerugian sekitar $520.000, tetapi angka tersebut meningkat menjadi sekitar $700.000 saat para peneliti melacak dana yang dicuri melalui beberapa alamat, bursa, dan mixer.
Penyerang bergerak cepat, menguras 5.000 token POL setiap 30 detik di tahap awal. Pola yang sistematis semacam itu menunjukkan otomatisasi, bukan seseorang yang panik mengklik tombol.
Dompet yang disusupi adalah alamat administrasi lama yang digunakan khusus untuk mendistribusikan hadiah keterlibatan pengguna. Dalam bahasa Inggris: itu adalah dompet top-up yang membiayai insentif promosi, bukan brankas yang menyimpan jaminan trader atau dana penyelesaian pasar.
Upaya untuk membekukan aset menghasilkan hasil sebagian. Sekitar $164.000 dari bagian $573.000 dibekukan, yang berarti sebagian besar dana yang dicuri sudah dicuci melalui bursa dan layanan pencampuran sebelum intervensi dimungkinkan.
Kunci itu sendiri berusia enam tahun. Sebagai konteks, enam tahun dalam infrastruktur kripto kira-kira setara dengan menjalankan sistem keamanan bank menggunakan Windows XP. Usia kunci ini menunjukkan kerentanan umum yang dapat dihindari: organisasi tumbuh melebihi praktik keamanan tahap awalnya tetapi lupa untuk membatalkan kredensial lama.
Respons Polymarket dan apa yang tetap aman
Tim pengembang Polymarket segera meyakinkan pengguna, menyatakan bahwa dana pengguna, kontrak pintar, dan sistem perdagangan tidak terdampak. Operasi inti platform, termasuk pembuatan pasar, perdagangan, dan penyelesaian, berlanjut tanpa gangguan.
Pelanggaran terbatas sepenuhnya pada dompet distribusi hadiah. Tidak ada hasil pasar yang dimanipulasi. Tidak ada saldo pengguna yang diubah.
Perbedaan itu penting. Polymarket telah muncul sebagai salah satu pasar prediksi paling terkemuka di kripto, menarik perhatian signifikan selama peristiwa politik dan siklus berita besar. Pelanggaran yang benar-benar membahayakan dana pengguna atau integritas pasar akan menjadi cerita yang sama sekali berbeda, yang dapat merusak seluruh model kepercayaan pasar prediksi terdesentralisasi.
Perusahaan mengatakan sedang melakukan penyelidikan menyeluruh terhadap insiden tersebut. Apakah penyelidikan tersebut akan menghasilkan pengungkapan publik tentang bagaimana kunci disimpan, siapa yang memiliki akses, dan kebijakan rotasi apa (atau ketiadaannya) yang berlaku akan patut diawasi.
Pola yang sudah dikenal dalam keamanan kripto
Ini bukan pertama kalinya kunci admin yang sudah tua menjadi titik lemah. Industri kripto memiliki masalah berulang dengan infrastruktur lama. Proyek-proyek diluncurkan dengan tim kecil, menghasilkan kunci untuk berbagai dompet operasional, lalu berkembang pesat tanpa mengaudit kredensial awal tersebut.
Vektor serangan di sini bukanlah bug kontrak pintar, eksploitasi flash loan, atau manipulasi DeFi yang canggih. Ini adalah kunci pribadi yang seharusnya sudah diganti atau dinonaktifkan bertahun-tahun lalu. Eksploitasi paling sederhana sering kali paling merusak, justru karena itulah yang tidak pernah dipikirkan untuk diperiksa.
Insiden sebanding telah menimpa proyek-proyek lain di masa lalu. Dompet panas, kunci admin, dan alamat penyebaran dari hari-hari awal suatu proyek merupakan area permukaan yang terus-menerus menjadi sasaran penyerang. Setelah kunci pribadi dikompromikan, entah melalui phishing, malware, atau orang dalam, tidak ada mekanisme on-chain yang dapat menghentikan pemegangnya dari menjalankan transaksi.
Dompet multi-tanda tangan, modul keamanan perangkat keras, dan rotasi kunci reguler semuanya merupakan mitigasi standar. Fakta bahwa kunci tunggal yang berusia enam tahun masih memiliki otoritas atas dompet yang terisi menunjukkan setidaknya satu dari praktik tersebut tidak diterapkan untuk alamat tertentu ini.
Apa artinya ini bagi investor dan pengguna
Ini masalahnya. Kerugian sebesar $700.000 relatif kecil menurut standar eksploitasi kripto. Namun, kerusakan reputasi bisa lebih besar daripada angka dolar, terutama bagi platform yang bergantung pada kepercayaan pengguna untuk berfungsi.
Pasar prediksi secara inheren bergantung pada kepercayaan. Pengguna mempertaruhkan uang sungguhan pada hasil, dan mereka perlu percaya bahwa platform yang menangani dana serta menyelesaikan taruhan mereka beroperasi dengan baik. Bahkan pelanggaran yang terbatas pada dompet hadiah sekalipun dapat menimbulkan keraguan tentang sistem warisan lain apa pun yang mungkin bersembunyi di latar belakang.
Bagi para pedagang yang secara aktif menggunakan Polymarket, risiko langsung tampak terkendali. Dana pengguna tidak terganggu, dan kontrak pintar platform tidak terlibat dalam eksploitasi tersebut. Infrastruktur operasional yang menangani setoran, penarikan, dan penyelesaian pasar tampaknya sama sekali terpisah dari dompet yang diserang.
Kekhawatiran yang lebih besar bersifat sistemik. Jika Polymarket, salah satu platform prediksi paling terkenal dan paling banyak didanai, menjalankan kunci berusia enam tahun dengan akses dana aktif, seperti apa kesehatan manajemen kunci pada proyek-proyek lebih kecil dan berdaya lebih terbatas? Insiden ini seharusnya mendorong pengguna untuk mengajukan pertanyaan yang lebih sulit mengenai keamanan operasional setiap platform tempat mereka menyimpan dana, bukan hanya laporan audit kontrak pintar.
Platform pesaing mungkin memanfaatkan momen ini untuk membedakan diri melalui praktik keamanan. Kebijakan rotasi kunci yang transparan, persyaratan multi-sig untuk semua dompet operasional, dan audit keamanan pihak ketiga secara berkala bisa menjadi syarat dasar bagi platform yang ingin menarik volume serius. Di pasar di mana kepercayaan adalah produknya, platform yang dapat secara kredibel menunjukkan keamanan operasional terketat memiliki keunggulan yang berarti.
Saat ini, pembekuan sebagian sebesar $164.000 berarti sebagian besar dana yang dicuri kemungkinan tidak dapat dipulihkan. Dana yang berhasil melewati mixer dan bursa secara praktis telah hilang. Apakah penegak hukum atau forensik on-chain dapat melacak dana yang tersisa ke pihak yang dapat diidentifikasi tetap menjadi pertanyaan terbuka, tetapi peluangnya berkurang dengan setiap langkah melalui layanan pencampuran.