Pengguna melaporkan pelanggaran Polymarket yang terkait dengan otentikasi pihak ketiga

Beberapa pengguna melaporkan kerugian di Polymarket, platform prediksi utama, setelah pelanggaran keamanan terbaru yang tampaknya terkait dengan penyedia otentikasi pihak ketiga.

Pengguna Polymarket menggambarkan pelanggaran akun mendadak dan saldo yang terkuras

Laporan tentang pelanggaran akun di Polymarket mulai muncul awal minggu ini di X dan Reddit, saat pengguna yang terkena dampak berbagi rincian kerugian mendadak. Seorang pengguna menulis bahwa saat bangun, mereka melihat 3 percobaan login ke akun mereka meskipun menegaskan bahwa perangkat mereka tidak dikompromikan.

Pengguna tersebut mengatakan bahwa Google tidak menandai apa pun yang mencurigakan dan semua layanan lain terlihat normal. Namun, setelah mengunjungi platform, mereka menemukan bahwa semua posisi terbuka mereka telah ditutup dan saldo mereka turun menjadi hanya $0,01, menunjukkan pengurasan dompet secara total.

Komentator lain di Reddit menggambarkan pelanggaran akun Polymarket serupa, menerima tiga notifikasi login sebelum dana menghilang dari akun tersebut. Selain itu, mereka mengklaim bahwa mereka tidak mengklik tautan apa pun dan telah mengaktifkan otentikasi dua faktor di email mereka, menimbulkan kekhawatiran tentang kemungkinan bypass otentikasi dua faktor di tingkat penyedia.

Fokus pada Magic Labs dan akses dompet berbasis email

Menurut beberapa laporan pengguna di media sosial, akun yang terkena dampak sebagian besar milik pelanggan yang mendaftar melalui Magic Labs. Layanan ini memungkinkan pengguna masuk dengan alamat email dan secara otomatis membuat dompet ethereum non-kustodian untuk mereka di backend.

Magic Labs banyak digunakan oleh pengguna crypto pemula yang kurang pengalaman dengan dompet aset digital. Namun, model dompet login email yang berfokus pada kenyamanan ini juga dapat memperluas permukaan serangan jika infrastruktur pihak ketiga dikompromikan atau dikonfigurasi salah.

Beberapa anggota komunitas di X dan Discord berspekulasi bahwa kerentanan tersebut secara langsung terkait dengan masalah otentikasi Magic Labs. Meski begitu, pada tahap ini klaim tersebut belum diverifikasi, karena belum ada post-mortem teknis yang dipublikasikan dan tidak ada penyedia yang secara terbuka mengonfirmasi pelanggaran.

Polymarket mengonfirmasi masalah keamanan pihak ketiga

Polymarket telah mengakui bahwa beberapa akun pengguna mengalami kerugian akibat masalah keamanan yang terkait dengan layanan eksternal. Pada hari Selasa, tim menanggapi insiden tersebut di saluran Discord resmi mereka, mengonfirmasi bahwa penyedia otentikasi pihak ketiga berada di pusat masalah.

“Kami baru-baru ini mengidentifikasi dan menyelesaikan masalah keamanan yang mempengaruhi sejumlah kecil pengguna,” tulis platform dalam pembaruan Discord. Selain itu, Polymarket menyatakan bahwa masalah tersebut berasal dari “kerentanan yang diperkenalkan oleh penyedia otentikasi pihak ketiga,” tanpa memberikan rincian teknis lebih lanjut.

Perusahaan tidak mengungkapkan berapa banyak pengguna yang terdampak atau total nilai yang dicuri. Namun, mereka menekankan bahwa kerentanan tersebut telah diperbaiki dan mengklaim bahwa tidak ada risiko berkelanjutan bagi pengguna saat ini. Tim menambahkan bahwa mereka “akan menghubungi pengguna yang terdampak” untuk menangani kasus individu dan potensi restitusi.

Meskipun spekulasi pengguna, Polymarket sejauh ini menolak untuk mengidentifikasi penyedia spesifik yang terlibat dalam pelanggaran polymarket. The Block telah menghubungi tim tersebut untuk informasi tambahan, tetapi tidak ada pernyataan publik lebih lanjut yang dilaporkan pada saat penulisan.

Insiden sebelumnya: pengurasan dompet dan phishing sosial

Eksploitasi terbaru ini mengulangi tantangan keamanan sebelumnya bagi platform prediksi. Pada September 2024, beberapa pengguna yang masuk melalui akun Google melaporkan pengurasan dompet USDC mendadak, dengan penyerang menggunakan panggilan fungsi “proxy” untuk memindahkan dana pengguna ke alamat phishing.

Pada saat itu, Polymarket mengatakan sedang menyelidiki serangan tersebut sebagai kemungkinan eksploitasi yang ditargetkan, lagi-lagi terkait dengan penyedia otentikasi pihak ketiga daripada protokol inti. Laporan pengurasan dompet USDC sebelumnya menimbulkan pertanyaan tentang seberapa banyak kontrol yang dimiliki alat login eksternal atas izin di blockchain.

Secara terpisah, kampanye phishing yang mengeksploitasi bagian komentar platform bulan lalu menyebabkan kerugian pengguna lebih dari $500.000 yang dilaporkan. Penipu memposting tautan yang disamarkan ke situs web palsu yang meniru halaman resmi dan mendorong pengguna untuk melakukan login email, mengubah antarmuka menjadi penipuan komentar phishing.

Pengawasan berkelanjutan terhadap otentikasi pihak ketiga di crypto

Serangkaian kejadian ini telah memperkuat pengawasan terhadap solusi otentikasi pihak ketiga di seluruh sektor crypto. Alat kenyamanan yang menghubungkan login email atau sosial tradisional dengan dompet blockchain kini dipandang sebagai potensi titik kegagalan tunggal. Selain itu, ketika penyedia tersebut dikompromikan, penyerang dapat memperoleh akses luas tanpa perlu melanggar kontrak pintar di blockchain.

Untuk saat ini, Polymarket mengatakan masalah langsung telah diselesaikan dan pengguna yang terdampak akan dihubungi langsung. Namun, ketergantungan berulang pada vendor otentikasi eksternal kemungkinan akan menimbulkan tekanan yang meningkat agar platform menyediakan transparansi yang lebih jelas, izin yang lebih rinci, dan pemantauan yang lebih kuat terhadap integrasi ini.

Insiden terbaru di Polymarket menyoroti ketegangan antara kegunaan dan keamanan di pasar crypto.

Meskipun alat login pihak ketiga dapat menurunkan hambatan bagi pendatang baru, mereka juga memperkenalkan jalur serangan baru yang harus dipahami dan mitigasi lebih proaktif oleh platform dan pengguna.