Peretasan Polymarket: Rp49 Miliar Raib, Kepercayaan Pengguna Hancur

Serangan ini mengeksploitasi kelemahan klasik di platform kripto: bahkan ketika kontrak pintar blockchain aman, ketergantungan pada pihak ketiga dapat menimbulkan celah keamanan. Pengguna yang berinteraksi dengan situs Polymarket yang sah tertipu untuk menyetujui transaksi penipuan karena kode berbahaya berjalan di domain asli platform .

Langkah Keamanan yang Diambil Polymarket

Respon langsung Polymarket, yang diumumkan di X/Twitter, meliputi:

• Pengendalian dan penghapusan dependensi pihak ketiga yang diretas dari antarmuka depan
• Pengembalian dana penuh kepada semua pengguna yang terdampak — perusahaan berkomitmen untuk mengganti kerugian korban
• Investigasi yang sedang berlangsung, meskipun Polymarket menolak menyebutkan nama vendor yang terlibat

Respon ini cepat — perusahaan mendeteksi dan mengonfirmasi pelanggaran pada pagi hari yang sama saat terjadi. Namun, ini adalah insiden keamanan kedua Polymarket dalam waktu kurang dari dua bulan. Pada pertengahan Mei 2026, peretasan dompet internal mengakibatkan kerugian sekitar $700.000 setelah kunci privat diretas . Insiden sebelumnya juga tidak langsung memengaruhi dana pengguna, tetapi menandakan kelemahan dalam keamanan operasional Polymarket yang kemudian terbukti dalam serangan rantai pasok bulan Juni.

Skandal Pemasaran Menipu

Hanya beberapa hari sebelum peretasan, pada 20 Juni 2026, Wall Street Journal menerbitkan investigasi mengejutkan yang mengungkap bahwa Polymarket membayar kreator media sosial untuk memproduksi video yang secara palsu menunjukkan pengguna memenangkan sejumlah besar uang di platform .

Temuan utama dari investigasi WSJ:

• Analis meninjau 1.105 video tentang Polymarket di berbagai platform media sosial. 778 di antaranya menunjukkan taruhan palsu di situs kloning — tidak ada satu pun yang menggunakan bursa Polymarket yang asli .
• Video-video tersebut secara kolektif menunjukkan kemenangan total $1,9 juta .
• Polymarket menyediakan materi instruksional kepada kreator tentang cara memalsukan taruhan .
• Pada 26 Juni 2026 — sehari setelah peretasan — Asosiasi Advokat Konsumen Nasional mengajukan gugatan yang menuduh Polymarket menjalankan skema pemasaran menipu, membayar iklan rahasia, dan secara agresif menargetkan mahasiswa sambil menyembunyikan probabilitas kerugian .
• Polymarket merespons dengan mengatakan bahwa mereka sedang mengaudit konten promosi mereka .

Laporan WSJ merinci bagaimana kontraktor pemasaran, Virality, mengelola jaringan kreator dan membayar kreator antara $2.000 hingga $3.000 per bulan — dengan pembayaran tergantung pada setidaknya 60% audiens mereka berbasis di AS, meskipun ada ketidakpastian regulasi seputar pasar prediksi .

Bagaimana Krisis Ini Saling Memperparah

Skandal yang terjadi berturut-turut ini menciptakan krisis kepercayaan yang berlapis di beberapa dimensi:

Waktu kejadian sangat krusial: peretasan terjadi lima hari setelah investigasi WSJ, yang berarti kegagalan keamanan segera memvalidasi kritikus yang berpendapat bahwa standar operasional dan etika Polymarket sangat longgar. Perusahaan sekarang menghadapi krisis keamanan, hukum, dan reputasi secara simultan tanpa jalan yang jelas untuk memulihkan kepercayaan pengguna.

Implikasi Lebih Luas untuk Platform Kripto

Peretasan rantai pasok Polymarket adalah bagian dari pola yang lebih luas dalam keamanan kripto. Serangan rantai pasok yang menargetkan vendor pihak ketiga semakin umum karena mereka melewati keamanan kuat infrastruktur blockchain. Vektor serangan — injeksi JavaScript berbahaya melalui dependensi antarmuka depan yang diretas — sudah dikenal tetapi sulit dicegah tanpa pemeriksaan vendor yang ketat dan kontrol integritas kode .

Bagi pengguna yang berinteraksi dengan platform kripto mana pun, insiden Polymarket menggarisbawahi beberapa pelajaran:

• Keamanan kontrak pintar tidak cukup jika dependensi antarmuka depan diretas
• Risiko vendor pihak ketiga memerlukan pemantauan berkelanjutan, bukan hanya uji tuntas awal
• Beberapa insiden keamanan dalam waktu singkat menunjukkan kelemahan sistemik, bukan kegagalan yang terisolasi

Kasus Polymarket juga menyoroti kerusakan reputasi yang terjadi ketika kegagalan keamanan terjadi segera setelah praktik pemasaran menipu terungkap. Pengguna mungkin bertanya: jika platform bersedia menipu publik tentang hasil kemenangan, apa lagi yang mereka bersedia bohongi?

Polymarket telah berkomitmen untuk mengganti rugi semua pengguna yang terdampak, tetapi perusahaan belum menyebutkan nama vendor yang diretas atau memberikan rincian tentang bagaimana pelanggaran akan mencegah insiden di masa depan . Tanpa transparansi dan perbaikan keamanan yang berarti, membangun kembali kepercayaan pengguna akan menjadi perjalanan yang sulit.