Celah keamanan otentikasi pihak ketiga menyebabkan dana pengguna Polymarket hilang Mengungkap risiko infrastruktur login Web3

Keadaan Kejadian: Lapisan Verifikasi Direbut, Jutaan Dana Dicuri

24 Desember 2025, Polymarket resmi mengonfirmasi platform mengalami insiden peretasan akun massal. Penyebab utama kejadian ini bukanlah serangan terhadap kontrak pintar, melainkan celah keamanan yang diperkenalkan oleh penyedia layanan otentikasi pihak ketiga. Banyak pengguna melaporkan saldo akun mereka dipindahkan tanpa izin, sebagian pengguna bahkan saldo USDC-nya langsung dihapus dan posisi otomatis dilikuidasi.

Insiden pertama kali diungkapkan pada 22 Desember 2025 di platform media sosial seperti X, Reddit, dan Discord. Pengguna mengeluhkan bahwa setelah beberapa kali percobaan login, dana akun mereka secara misterius hilang. Seorang korban melaporkan saldo mereka tiba-tiba turun dari kondisi normal ke $0.01, dan pengguna lain melaporkan bahwa meskipun mengaktifkan verifikasi dua langkah melalui email, mereka tetap tidak bisa mencegah pencurian.

Verifikasi Pihak Ketiga Menjadi Titik Rawan dalam Ekosistem Kripto

Polymarket tidak mengungkapkan nama penyedia pihak ketiga yang terlibat maupun total dana yang dicuri, tetapi laporan pengguna mengarah ke solusi login email umum seperti Magic Labs. Perusahaan tersebut menyatakan di saluran Discord bahwa mereka telah mengidentifikasi dan memperbaiki masalah tersebut, dan saat ini risiko telah diatasi. Namun, pernyataan Polymarket yang menyebut ini sebagai “kejadian terisolasi” dan “hanya mempengaruhi beberapa pengguna” menimbulkan keraguan.

Masalah utama adalah: demi memberikan pengalaman pengguna yang cepat dan mudah, banyak platform DeFi bergantung pada otentikasi pihak ketiga, layanan dompet, dan sistem login. Ketika satu penyedia keamanan mereka diretas, reaksi berantai dapat mempengaruhi banyak aplikasi dalam ekosistem. Arsitektur ini memindahkan potensi risiko dari lapisan kontrak pintar ke lapisan otentikasi identitas—yang sering diabaikan namun sama-sama menjadi titik lemah yang mematikan.

Bahaya Tersembunyi dari Login Email dan Dompet

Metode login berbasis email seperti “magic link” sangat populer karena kemudahan penggunaannya. Platform membuat dompet Ethereum non-penitipan saat pendaftaran, sehingga menurunkan hambatan masuk bagi pemula kripto. Tetapi, konsekuensinya adalah penyedia tetap mengendalikan mekanisme utama pemulihan login.

Pengguna yang menjadi korban melaporkan bahwa mereka tidak mengklik tautan mencurigakan, tetapi dana mereka tetap dicuri. Ini menunjukkan bahwa serangan bukan melalui phishing tradisional, melainkan melalui celah backend layanan otentikasi pihak ketiga. Setelah penyerang menembus lapisan ini, mereka dapat meniru identitas pengguna yang sah, lalu mengotorisasi transfer atau likuidasi posisi—tanpa intervensi pengguna.

Pembelajaran dari Sejarah: Munculnya Risiko Struktural Berulang

Insiden ini bukan yang pertama. Pada September 2024, Polymarket pernah mengalami serangan serupa yang melibatkan metode login Google. Saat itu, penyerang memanfaatkan fungsi “proxy” untuk memanggil transfer USDC ke alamat phishing, dan Polymarket menyebutnya sebagai serangan terarah terkait otentikasi pihak ketiga.

Pada November 2025, komentar di kolom diskusi juga menunjukkan adanya penipuan yang mempengaruhi platform. Penipu menaruh tautan palsu yang mengarahkan pengguna memasukkan data login email mereka, menyebabkan kerugian lebih dari . Serangkaian kejadian ini menunjukkan satu kesimpulan: otentikasi dan manajemen sesi telah menjadi target serangan bernilai tinggi, dan upaya pertahanan platform terhadap hal ini masih sangat kurang.

Refleksi Mendalam: Harga dari Ketergantungan Pihak Ketiga

Polymarket hingga saat ini belum merilis analisis teknis pasca kejadian maupun garis waktu lengkap insiden, dan juga belum mengumumkan rencana kompensasi. Pengguna yang terdampak mulai beralih ke koneksi dompet langsung (seperti MetaMask), meskipun ini tidak ramah untuk pemula.

Kejadian ini memperkuat satu kenyataan menyakitkan dalam ekosistem kripto: demi meningkatkan pengalaman pengguna, lapisan protokol semakin bergantung pada layanan pihak ketiga—yang seharusnya menjadi alat bantu, namun perlahan menjadi titik kegagalan tunggal sistem. Ketika jalur kritis ini diretas, bahkan kontrak pintar yang sempurna sekalipun tidak mampu melindungi dana pengguna.

Bagi seluruh industri, celah keamanan otentikasi pihak ketiga sama bahayanya dengan celah di protokol. Polymarket tidak hanya membutuhkan patch teknis, tetapi juga penilaian ulang secara menyeluruh terhadap rantai ketergantungan ekosistemnya, memastikan standar keamanan penyedia pihak ketiga sesuai dengan kebutuhan internal.