Polymarket Terserang Kerusakan Otorisasi Pihak Ketiga, Pengguna Kehilangan Dana

• Kelemahan otentikasi pihak ketiga melewati perlindungan dua faktor Polymarket, memungkinkan akses dan penarikan akun tanpa izin.
• Pengguna melaporkan saldo yang terkuras, termasuk akun-akun utama, dengan beberapa kehilangan ribuan meskipun tidak ada perangkat yang diretas.
• Polymarket memperbaiki kerentanan tersebut dan akan menghubungi pengguna yang terdampak, tetapi total kerugian dan jumlah akun tetap tidak diungkapkan.

Polymarket mengonfirmasi adanya pelanggaran keamanan minggu ini setelah pengguna melaporkan akun yang terkuras dan aktivitas login mencurigakan di platform. Insiden ini terjadi di platform pasar prediksi Polymarket, dengan laporan muncul di Reddit dan X pada hari Selasa. Menurut perusahaan, kelemahan otentikasi pihak ketiga melewati perlindungan dua faktor, memungkinkan akses tanpa izin dan penarikan dana.

Laporan Pengguna Memicu Respon Platform

Yang menarik, pengguna mulai menandai masalah ini setelah menerima peringatan login tak terduga yang terkait dengan akun Polymarket mereka. Beberapa pengguna melaporkan beberapa percobaan login sebelum saldo menghilang.

Seorang pengguna Reddit mengatakan saldo akun mereka turun menjadi $0,01 semalam, meskipun tidak ada perangkat yang diretas. Pengguna lain di X melaporkan kerugian sekitar $2.000, meskipun dua faktor otentikasi diaktifkan.

Namun, laporan-laporan ini tidak hanya terjadi di satu platform. Pengguna tambahan di X mengatakan penyerang menguras akun-akun yang berperingkat tinggi dan akun pengujian. Seorang pengguna mengklaim bahwa akun Polymarket “top 1000” mereka telah sepenuhnya dikosongkan. Saat laporan ini menyebar, pengguna mempertanyakan bagaimana penyerang melewati lapisan keamanan yang ada.

Alat Login Pihak Ketiga Dalam Pengawasan

Seiring perhatian beralih ke metode otentikasi, beberapa pengguna menunjuk Magic Labs sebagai sumber kemungkinan. Magic Labs menyediakan layanan login berbasis email dan dompet yang dihasilkan secara otomatis untuk pengguna.

Alat ini memungkinkan pendatang baru tanpa dompet kripto untuk mengakses platform seperti Polymarket. Pengguna mengklaim bahwa akun yang terdampak dibuat menggunakan Magic Labs, meskipun mereka tidak menerima email phishing.

Sementara itu, Polymarket tidak mengonfirmasi identitas penyedia tersebut. Namun, perusahaan menyatakan bahwa kerentanan berasal dari luar infrastruktur inti mereka. Polymarket menekankan bahwa masalah ini berasal dari penyedia login pihak ketiga dan bukan dari sistem internal.

Polymarket Konfirmasi Perbaikan, Tidak Ungkap Detail

Menurut pernyataan yang dibagikan di Discord Polymarket, perusahaan mengidentifikasi dan memperbaiki kerentanan tersebut. Platform mengatakan masalah ini mempengaruhi “sejumlah kecil pengguna” dan mengonfirmasi tidak ada risiko yang berkelanjutan. Polymarket menambahkan bahwa mereka akan menghubungi pengguna yang terdampak secara langsung.

Namun, Polymarket tidak mengungkapkan berapa banyak akun yang terdampak atau total dana yang hilang. Magic Labs juga tidak menanggapi pertanyaan media. Yang menarik, ini mengikuti laporan pengguna serupa di akhir 2024 yang melibatkan login berbasis Google.