Polymarket mengalami insiden keamanan pada Jumat ketika penyelidik on-chain ZachXBT menandai dugaan pengurasan dari sebuah dompet yang terhubung dengan infrastruktur Polygon milik pasar prediksi, dengan lebih dari $520.000 yang awalnya dilaporkan hilang. Pengembang Polymarket kemudian mengakui insiden tersebut, mengonfirmasi kebocoran kunci privat dari dompet “internal top-up” yang digunakan untuk operasi hadiah, sambil menyatakan bahwa dana pengguna dan hasil pasar tetap aman. Platform analitik on-chain Bubblemaps kemudian memperkirakan total kerugian sekitar $700.000, dengan dana curian dibagi ke 16 alamat dan dialirkan melalui bursa terpusat serta layanan lain.
Detail Insiden
Tim pengembangan Polymarket merilis pernyataan pada 22 Mei 2026, menanggapi laporan keamanan: “Temuan mengarah pada kebocoran kunci privat dari dompet yang digunakan untuk operasi internal top-up, bukan kontrak atau infrastruktur inti.” Pernyataan tersebut menekankan bahwa dana pengguna dan resolusi pasar tidak terpengaruh oleh insiden ini.
Analisis Bubblemaps, yang dirilis lebih dari satu jam setelah pengungkapan awal, memberikan penilaian yang lebih rinci tentang pelanggaran tersebut. Platform itu melaporkan bahwa sekitar $700.000 dana telah dieksploitasi dan didistribusikan ke 16 alamat, dengan aset curian selanjutnya dialirkan melalui bursa terpusat dan layanan jasa keuangan lainnya.
Dompet yang terlibat dalam insiden ini digunakan untuk pembayaran hadiah, terpisah dari kontrak inti yang menangani dana pengguna dan menentukan hasil pasar. Pasar prediksi di Polymarket beroperasi melalui kontrak yang mencatat taruhan dan membayar pemenang setelah layanan eksternal mengonfirmasi hasilnya.
Penilaian Teknis dan Analisis Pakar
Ko-founder BlockSec Andy Yajin Zhou, seorang profesor asosiasi di Chinese University of Hong Kong, mengatakan kepada Decrypt bahwa tinjauan awal perusahaannya selaras dengan keterangan Polymarket tentang insiden tersebut. “Berdasarkan analisis awal kami, ini tidak tampak sebagai kekurangan pada logika kontrak adapter atau infrastruktur pasar prediksi itu sendiri,” kata Zhou. “Pada tahap ini, kami belum mengidentifikasi bukti yang menunjukkan adanya eksploit pada level protokol, manipulasi oracle, atau kerentanan umum pada infrastruktur pasar berbasis adapter.”
Zhou menyoroti bahwa insiden ini mencerminkan risiko keamanan operasional, termasuk manajemen kunci, kontrol akses, kebijakan penandatanganan, pemantauan, serta langkah pengamanan lain di sekitar dompet yang digunakan untuk operasi rutin.
Perusahaan keamanan blockchain Cyvers mencapai kesimpulan serupa, dengan menentukan bahwa insiden ini memengaruhi dompet operasional atau admin, bukan kontrak inti Polymarket atau sistem penyelesaian pasar. Hakan Unal, senior lead operasi keamanan di Cyvers, mengatakan kepada Decrypt: “Bahkan ketika protokol pasar prediksi aman di level smart contract, adapter atau dompet admin yang memiliki hak istimewa tetap menjadi permukaan serangan yang kritis jika manajemen kunci atau keamanan operasional dikompromikan.”
Keamanan Operasional sebagai Risiko Industri
Dan Dadybayo, strategy lead di pengembang infrastruktur kripto Horizontal Systems, mengkarakterisasi insiden ini sebagai bagian dari pergeseran yang lebih luas dalam cara penyerang menargetkan proyek kripto. “Ini semakin terlihat sebagai kegagalan manajemen kunci, bukan eksploit smart contract,” kata Dadybayo kepada Decrypt. “Perubahan menarik di kripto adalah bahwa penyerang kini tidak lagi terutama merusak protokol. Mereka menargetkan lapisan operasional di sekitarnya: dompet admin, izin, dan infrastruktur.”
Insiden ini menegaskan perbedaan antara keamanan level protokol dan keamanan infrastruktur operasional dalam platform pasar prediksi.
