Polymarket Mengonfirmasi $3M Pencurian dari Pengguna melalui Pelanggaran Pihak Ketiga

Polymarket mengonfirmasi bahwa peretas mencuri sekitar 3 juta dolar AS dari lebih dari 11 pengguna melalui vendor pihak ketiga yang dikompromikan pada bulan Juni. Serangan tersebut melibatkan kode frontend berbahaya yang mengelabui pengguna untuk menyetujui transaksi penipuan, menurut firma keamanan blockchain Peckshield. Perusahaan menyatakan bahwa mereka mengembalikan dana semua korban yang terkena dampak secara penuh, menekankan bahwa infrastruktur inti dan pasar onchain mereka tidak langsung dibobol. Insiden ini menyoroti tantangan keamanan yang semakin besar di hadapan pasar prediksi seiring sektor ini mengalami pertumbuhan pesat dan pengawasan regulasi yang meningkat.

Polymarket Lacak Serangan ke Injeksi Kode Vendor Pihak Ketiga

Polymarket mengungkapkan bahwa kompromi pada salah satu penyedia luar memungkinkan peretas menyuntikkan kode berbahaya ke frontend-nya untuk beberapa pengguna. Skrip yang dirusak tersebut mendukung kampanye phishing yang menipu korban untuk menyetujui transaksi penipuan, yang kemudian menguras dana dari dompet yang terhubung.

"Kami telah mengendalikan insiden ini," kata Polymarket, menambahkan bahwa mereka menghapus dependensi yang terkena dampak. Perusahaan menekankan bahwa infrastruktur inti dan pasar onchain mereka sendiri tidak dibobol, dengan titik lemahnya adalah pemasok pihak ketiga yang kodenya disajikan melalui situs web Polymarket.

Firma keamanan blockchain Peckshield memperkirakan kerugian sekitar 3 juta dolar AS yang dikuras dari lebih dari 11 korban. Serangan itu adalah kompromi rantai pasokan, di mana lawan menargetkan vendor terpercaya untuk menjangkau platform yang lebih besar daripada menyerang sistem platform tersebut secara langsung.

Karena kode berbahaya berada di frontend situs web, bukan di kontrak pintar yang mendasarinya, eksploitasi tersebut mengenai lapisan yang paling sering berinteraksi dengan pengguna. Pengunjung yang memuat halaman yang dikompromikan diminta untuk menandatangani transaksi yang tampak sah tetapi malah menyerahkan kendali aset mereka kepada penyerang. Dana yang terkunci di pasar onchain Polymarket tidak pernah berisiko langsung, tetapi pengguna yang menyetujui transaksi palsu melihat dompet mereka dikosongkan.

Sumber gambar: X

Perusahaan Konfirmasi Pengembalian Dana Penuh untuk Semua Pengguna yang Terkena Dampak

Polymarket menyatakan bahwa mereka menghubungi korban secara individual saat memproses pengembalian dana, menyerap biaya pelanggaran yang berasal dari luar infrastrukturnya sendiri. Perusahaan mengembalikan dana pengguna yang terkena dampak "secara penuh."

Platform ini telah memproses lebih dari 100 juta perdagangan hingga saat ini, menjadikannya salah satu tempat paling aktif di kripto. Polymarket dan pesaingnya Kalshi bersama-sama mendorong rekor bulan pada bulan April.

Pasar Prediksi Hadapi Keamanan dan Pengawasan Regulasi yang Meningkat

Polymarket baru-baru ini menggunakan alat pengawasan Chainalysis untuk memantau integritas pasar. Pembuat undang-undang AS telah menyelidiki pasar prediksi terkait perlindungan perdagangan orang dalam, dengan satu RUU Partai Republik yang berusaha melarang anggota Kongres dan keluarga mereka bertaruh pada hasil kebijakan.

Anggota DPR dari Partai Republik Bryan Steil memperkenalkan Undang-Undang Stop Lawmakers from Predicting, sebuah RUU yang akan melarang anggota DPR, keluarga mereka, dan staf senior untuk bertransaksi di platform pasar prediksi.

Tanya Jawab (FAQ)

Apa yang terjadi dalam pelanggaran keamanan Polymarket pada bulan Juni?

Peretas mencuri sekitar 3 juta dolar AS dari lebih dari 11 pengguna Polymarket melalui kode berbahaya yang disuntikkan melalui vendor pihak ketiga yang dikompromikan. Serangan tersebut menggunakan phishing frontend untuk menipu pengguna agar menyetujui transaksi penipuan yang menguras dompet yang terhubung.

Bagaimana Polymarket merespons pengguna yang terkena dampak?

Polymarket mengonfirmasi bahwa mereka mengembalikan dana semua korban yang terkena dampak secara penuh dan menyatakan telah mengendalikan insiden tersebut dengan menghapus dependensi pihak ketiga yang dikompromikan. Perusahaan menekankan bahwa infrastruktur inti dan pasar onchain mereka tidak langsung dibobol.