Platform pasar prediksi, Polymarket, menyatakan bahwa pengguna yang terdampak oleh eksploitasi website yang mengakibatkan pencurian sekitar $3 juta aset kripto akan menerima penggantian penuh. Klaimnya adalah bahwa insiden ini bukan disebabkan oleh masalah pada arsitektur inti platform, melainkan oleh malware yang ditambahkan ke bagian front end platform oleh vendor pihak ketiga yang telah dikompromi.
Skrip berbahaya tersebut didistribusikan hanya kepada beberapa individu terpilih. Skrip ini membantu penyerang menguras dana dari dompet pengguna saat mereka berinteraksi dengan front-end yang terdampak. Polymarket kemudian menyatakan bahwa mereka telah berhasil mengidentifikasi penyebab masalah, mengisolasi ketergantungan tersebut, dan mulai menghubungi pengguna yang terdampak.
"Tim kami menemukan bahwa sebuah vendor pihak ketiga telah dikompromikan, menyuntikkan skrip berbahaya ke dalam frontend kami untuk beberapa pengguna," kata perusahaan tersebut dalam sebuah pernyataan. "Kami telah mengendalikannya, menghapus dependensi yang terdampak, dan akan mengembalikan dana pengguna yang terdampak secara penuh."
Sekitar 15 Dompet Terdampak karena Dana Hasil Curian Dipindahkan ke Ethereum
Diperkirakan kurang dari 15 akun pengguna yang terkena dampak serangan ini. Stablecoin pUSD milik Polymarket, yang telah dibridge penyerang dari Polygon ke Ethereum sebelum ditukar dengan sekitar 1,893 ETH, merupakan mayoritas aset yang dicuri.
Alih-alih sebagai pelanggaran langsung terhadap kontrak pintar Polymarket, peneliti keamanan mengkarakterisasikan kejadian ini sebagai peretasan rantai pasok. Perbedaan ini menunjukkan bahwa protokol inti platform tidak terdampak. Lebih lanjut, serangan ini menggunakan kode pihak ketiga yang diretas di situs web untuk menargetkan pelanggan.
Meskipun perusahaan mengakui bahwa kerentanan telah ditambal, belum ada informasi mengenai vendor mana yang menjadi korban serangan ini. Polymarket juga belum melakukan analisis teknis lengkap atas serangan tersebut.
Insiden Keamanan Kedua Menimbulkan Kekhawatiran Baru
Kurang dari dua bulan telah berlalu sejak masalah keamanan lain yang melibatkan dompet di bawah kendali perusahaan yang digunakan untuk membagikan hadiah pengguna. Insiden sebelumnya yang diduga disebabkan oleh kunci privat yang dikompromikan telah menyebabkan kerugian sekitar $700.000.
Insiden saat ini menggarisbawahi meningkatnya bahaya yang terkait dengan ketergantungan perangkat lunak pihak ketiga. Meskipun kesediaan Polymarket untuk mengganti kerugian pengguna yang terdampak dapat membantu memulihkan kepercayaan, serangan rantai pasok menjadi perhatian keamanan utama bagi sektor kripto, yang juga semakin bergantung pada penyedia layanan eksternal.
Sorotan Pasar Kripto
Cardano (ADA) Mengirim Sinyal Beragam: Apakah Terobosan Sedang Dikembangkan atau Penurunan Lain Sudah di Depan Mata?
