- Akun pengguna Polymarket diretas akibat otentikasi pihak ketiga, bukan karena cacat protokol.
- Pendaftaran dompet berbasis email memungkinkan pengurasan akun tanpa eksploitasi smart contract.
- Insiden ini menyoroti risiko sistemik Web3 karena layanan login pihak ketiga menjadi titik kegagalan.
Polymarket menyatakan bahwa penyerang menguras sejumlah akun pengguna setelah mengeksploitasi celah pada layanan login pihak ketiga. Pengguna melaporkan kehilangan saldo secara tiba-tiba dan posisi yang ditutup setelah beberapa kali login. Polymarket mengonfirmasi insiden ini pada 24 Desember 2025, dan menyatakan telah memperbaiki masalah tersebut.
Laporan muncul pada 22 dan 23 Desember 2025 di X, Reddit, dan Discord. Seorang pengguna Reddit melaporkan tiga kali percobaan login, diikuti dengan saldo $0,01. Pengguna lain melaporkan kejadian serupa dan mengatakan autentikasi dua faktor email tidak menghentikan pengurasan tersebut.
Otentikasi pihak ketiga menjadikan onboarding sebagai titik lemah bersama
Polymarket menyatakan bahwa penyedia otentikasi pihak ketiga memperkenalkan kerentanan tersebut. Perusahaan memposting di saluran resmi Discord bahwa mereka telah mengidentifikasi dan menyelesaikan masalah ini. Polymarket menggambarkan insiden ini hanya memengaruhi sejumlah kecil pengguna.
Polymarket tidak menyebutkan nama penyedia pihak ketiga dan tidak mengungkapkan total dana yang dicuri. Namun, platform menyatakan protokol intinya tetap aman, dan masalah hanya terbatas pada otentikasi. Mereka juga mengatakan perbaikan telah menghilangkan risiko lanjutan, dan akan menghubungi pengguna yang terdampak.
Pemaparan ini mengalihkan perhatian dari mekanisme pasar ke tumpukan onboarding crypto. Banyak platform bergantung pada layanan identitas, dompet, dan login eksternal untuk pendaftaran yang lebih cepat. Akibatnya, kelemahan pada satu penyedia dapat mengekspos pengguna di berbagai aplikasi.
Login dompet email meningkatkan risiko akses dompet tersemat
Postingan pengguna menunjukkan bahwa banyak akun yang terdampak menggunakan akses “magic link” berbasis email, bukan koneksi dompet langsung. Beberapa laporan menunjuk Magic Labs sebagai jalur pendaftaran umum, meskipun Polymarket belum mengonfirmasi kaitan tersebut. Pengguna juga mengatakan mereka tidak mengklik tautan mencurigakan sebelum dana terkuras.
Penyedia dompet berbasis email sering kali membuat dompet Ethereum non-kustodial saat pendaftaran. Pengaturan ini menarik pengguna crypto pemula yang tidak mengelola ekstensi atau seed phrase. Namun, penyedia tetap mengendalikan bagian penting dari alur login dan pemulihan.
Pengguna Polymarket menggambarkan saldo USDC terkuras tanpa sinyal persetujuan yang jelas. Laporan juga menyebutkan posisi yang ditutup dengan cepat setelah akses tidak sah. Akibatnya, insiden ini menyoroti bagaimana keamanan akun dapat gagal di atas lapisan smart contract.
Terkait: Polymarket Memimpin Protokol Crypto dalam Tingkat Retensi Pengguna
Insiden Polymarket sebelumnya menunjukkan tekanan pada lapisan akses
Pelanggaran ini mengingatkan pada laporan pengguna sebelumnya dari September 2024 yang melibatkan login berbasis Google. Pengguna menggambarkan pengurasan dompet di mana penyerang menggunakan panggilan fungsi “proxy”. Panggilan tersebut memindahkan dana USDC ke alamat phishing, menurut laporan pengguna.
Pada saat itu, Polymarket menganggap kejadian tersebut sebagai eksploitasi yang mungkin ditargetkan dan terkait dengan otentikasi pihak ketiga. Riwayat ini penting karena menunjukkan risiko struktural yang sama. Sistem otentikasi dan sesi dapat menjadi target berdampak tinggi.
Ancaman terpisah muncul pada November 2025, ketika penipu mengeksploitasi kolom komentar Polymarket. Pengguna melaporkan kerugian lebih dari $500.000 setelah penyerang memposting tautan yang disamarkan. Tautan tersebut mengarahkan korban ke halaman penipuan yang menangkap login email.
Insiden Desember 2025 kembali menyoroti risiko integrasi, bukan kegagalan penyelesaian. Polymarket belum merilis laporan teknis atau kronologi insiden secara lengkap. Mereka juga belum menyatakan apakah akan mengganti kerugian pengguna.
Sementara itu, pengguna membandingkan metode login dan membagikan alamat dompet di thread publik. Beberapa pengguna beralih ke koneksi dompet langsung untuk saldo yang lebih besar. Episode ini memperkuat kesimpulan yang lebih luas untuk onboarding crypto: jalur identitas dan dompet pihak ketiga kini berada di jalur kritis, sehingga dapat menjadi titik paling rapuh dalam ekosistem.
