Polymarket Konfirmasi Peretasan Akun Pengguna Terkait Kerentanan Pihak Ketiga – Dana Dihapus Meski 2FA

Platform pasar prediksi terdesentralisasi Polymarket mengakui pada 25 Desember 2025, bahwa beberapa akun pengguna telah diretas akibat kerentanan keamanan pada penyedia otentikasi pihak ketiga.

Pengguna yang terkena melaporkan login tidak sah dan saldo yang terkuras—meskipun mereka telah mengaktifkan (2FA) dan tidak ada bukti kompromi perangkat pribadi—memicu spekulasi di X dan Reddit bahwa masalah ini mungkin melibatkan Magic Labs, layanan koneksi dompet umum. Sementara Polymarket belum menyebutkan penyedia tersebut, insiden ini menyoroti risiko pihak ketiga yang terus berlangsung di platform Web3, bahkan untuk layanan non-kustodian. Tidak ada angka kerugian resmi yang diungkapkan, tetapi laporan individu menggambarkan penarikan dana signifikan setelah upaya login mencurigakan.

Rincian Peretasan Akun Polymarket

Pengguna mulai mengungkapkan keluhan lebih awal minggu ini:

• Polanya Umum: Banyak notifikasi gagal login diikuti akses berhasil dan penutupan posisi/pengurasan dana.
• Langkah Keamanan Tetap Utuh: Korban melaporkan perangkat bersih, tidak ada klik phishing, dan 2FA aktif di email terkait.
• Contoh Laporan: Seorang pengguna Reddit menggambarkan bangun dan menemukan tiga upaya login, lalu semua posisi Polymarket ditutup dengan saldo mendekati nol.
• Spekulasi Komunitas: Banyak yang menunjuk ke Magic Labs (magic.link) sebagai pihak ketiga yang kemungkinan rentan, mengingat penggunaannya yang luas untuk koneksi dompet.

Pernyataan Polymarket mengonfirmasi penyebab utama dari pihak ketiga tetapi memberikan detail terbatas tentang cakupan atau garis waktu perbaikan.

• Dampak Platform: Karena sifat non-kustodian, kunci pribadi tetap di kendali pengguna, tetapi kekurangan otentikasi memungkinkan perampokan sesi.
• Tidak Ada Konfirmasi Phishing: Menunjukkan kemungkinan eksploitasi di tingkat rantai pasokan atau penyedia.
• Status Tanggapan: Pengakuan telah dikeluarkan; penyelidikan masih berlangsung.

Mengapa Kerentanan Pihak Ketiga Menimbulkan Risiko bagi Pengguna DeFi

Bahkan platform terdesentralisasi bergantung pada layanan eksternal untuk pengalaman pengguna:

• Koneksi Dompet: Penyedia seperti Magic Labs menyederhanakan proses masuk tetapi memperkenalkan titik kegagalan tunggal.
• Manajemen Sesi: Token otentikasi yang diretas dapat melewati 2FA jika tidak dicabut dengan benar.
• Serangan Rantai Pasokan: Ancaman yang semakin meningkat seiring Web3 menumpuk banyak ketergantungan.

Insiden ini mengingatkan pada pelanggaran sebelumnya di mana alat pihak ketiga (misalnya, Ledger Connect kit) mengekspos pengguna meskipun keamanan individu cukup kuat.

Implikasi untuk Pengguna Polymarket dan Pasar Prediksi

Polymarket—yang dikenal karena taruhan acara volume tinggi—menghadapi tekanan reputasi:

• Dampak Kepercayaan: Pengguna mempertanyakan keamanan platform meskipun desain non-kustodian.
• Konteks Volume: Catatan terbaru (misalnya, taruhan pemilu) meningkatkan visibilitas masalah.
• Langkah Mitigasi: Kemungkinan mencabut sesi, memaksa re-auth, dan audit penyedia.
• Pelajaran Lebih Luas: Diversifikasi metode otentikasi dan pantau aplikasi yang terhubung.

Tidak ada bukti eksploitasi on-chain; kerugian terkait pengambilalihan akun.

Secara ringkas, konfirmasi Polymarket pada 25 Desember 2025 tentang peretasan akun pengguna melalui kerentanan pihak ketiga—yang mengakibatkan dana terkuras meskipun 2FA diaktifkan—menegaskan risiko rantai pasokan yang terus ada di Web3. Dengan spekulasi yang berpusat pada Magic Labs dan laporan akses tidak sah, insiden ini menjadi pengingat bagi pengguna untuk meninjau layanan yang terhubung dan mengaktifkan opsi keamanan tingkat lanjut. Pantau saluran resmi Polymarket untuk pembaruan terkait akun yang terdampak dan langkah penyelesaian dalam situasi yang berkembang ini.