Peretas Bobol Frontend Polymarket via Serangan Supply-Chain, Kuras Dana Pengguna Senilai $3 Juta

Platform pasar prediksi berbasis mata uang kripto terbesar di dunia, Polymarket, mengumumkan komitmennya untuk mengganti rugi secara penuh (fully reimburse) seluruh dana pengguna yang raib akibat insiden peretasan siber baru-baru ini. Berdasarkan analisis independen, total kerugian konsumen diperkirakan menyentuh angka $3 juta (sekitar 49 miliar rupiah).

Pihak manajemen mengonfirmasi bahwa insiden ini dipicu oleh serangan rantai pasok (supply-chain attack) yang menyasar salah satu vendor pihak ketiga. Peretas berhasil menyuntikkan skrip berbahaya (malicious script) ke dalam kode dependency pada sisi tampilan depan (frontend) situs web resmi mereka.

Profil Singkat Platform: Raksasa Prediksi Bernilai $9 Miliar

Didirikan pada tahun 2020, Polymarket saat ini telah menjelma menjadi salah satu raksasa di industri Web3 dengan nilai valuasi korporasi mencapai $9 miliar. Platform ini memproses volume perdagangan aset digital senilai miliaran dolar dan sering kali dijadikan acuan informasi publik global untuk membaca sentimen serta ekspektasi pasar terhadap berbagai peristiwa dunia.

Layanan Polymarket memungkinkan pengguna mempertaruhkan aset kripto mereka pada kontrak prediksi berbagai sektor, meliputi:

• Hasil pertandingan olahraga dan penghargaan (awards).
• Indikator ekonomi global dan pola cuaca ekstrim.
• Hasil pemilihan politik, kebijakan legislatif, hingga proyeksi konflik militer.

Modus Operandi: Injeksi JavaScript Palsu Tanpa Menyentuh Backend

Hal yang mengecoh dari insiden ini adalah para pengguna menjadi korban saat sedang mengakses tautan situs web resmi Polymarket yang sah.

Selama jendela serangan terbuka, peretas memanfaatkan celah dari vendor eksternal untuk memasukkan kode JavaScript berbahaya ke dalam web. Kode ini secara otomatis memicu munculnya jendela pop-up transaksi palsu. Pengguna yang tidak curiga kemudian menyetujui (approve) permintaan transaksi tersebut lewat dompet kripto (crypto wallet) mereka, yang berujung pada terkurasnya isi saldo.

Polymarket menegaskan bahwa server internal dan seluruh infrastruktur sistem bagian belakang (backend) mereka dipastikan aman serta tidak ikut terdampak atau tertembus oleh peretas dalam insiden ini.

Kronologi Transaksi: Dana Curian Ditukar Menjadi 1.893 Ether

Meskipun pihak Polymarket enggan membagikan rincian teknis mendalam mengenai jumlah korban, firma keamanan blockchain terkemuka, PeckShield, berhasil mendeteksi alur pencucian uang yang dilakukan oleh sang peretas:

1. Target Curian: Peretas meluncurkan kampanye phishing tersebut untuk menguras token ParyonUSD milik pengguna.
2. Pencucian Lintas Chain: Setelah menguasai token tersebut, peretas langsung menjembatani (bridging) dana curian dari jaringan Polygon menuju jaringan Ethereum.
3. Konversi ke ETH: Di jaringan Ethereum, seluruh dana tersebut langsung ditukar (swapped) menjadi aset kripto 1.893 Ether (ETH) guna menyamarkan jejak transaksi.

Di sisi lain, perusahaan analisis visual blockchain, Bubblemaps, merilis data pelacakan yang menunjukkan bahwa serangan ini berjalan secara terfokus dan hanya berdampak pada kelompok kecil, yakni kurang dari 15 akun pengguna. Bubblemaps juga telah mempublikasikan daftar alamat dompet kripto yang menjadi korban serta alamat dompet digital yang saat ini menampung aset Ether curian milik peretas tersebut.

Hingga saat ini, media teknologi BleepingComputer dilaporkan telah melayangkan surat permintaan klarifikasi kepada Polymarket guna mengetahui nama vendor pihak ketiga yang menjadi titik lemah serangan, namun belum mendapatkan respons resmi dari pihak terkait.