Hack Rantaian Bekalan Polymarket $3 Juta: Bagaimana Penyerang Mencuri Dana Pengguna dan Mengapa Skandal Taruhan Palsu Memburukkan Keadaan

Pada 25 Jun 2026, Polymarket mengalami serangan rantaian bekalan (supply-chain attack) yang menguras kira-kira $3 juta dana pengguna. Insiden ini berlaku hanya lima hari selepas siasatan Wall Street Journal mendedahkan platform itu membayar pencipta untuk membuat video kemenangan taruhan palsu. Masa kejadian ini menjadikan kegagalan keselamatan yang serius sebagai krisis kredibiliti yang semakin kompleks, menimbulkan persoalan tentang integriti operasi platform, pengurusan vendor, dan komitmen terhadap perlindungan pengguna.

Bagaimana Hack $3 Juta Berlaku

Penyerang menjejaskan vendor pihak ketiga yang tidak dikenal pasti yang digunakan oleh Polymarket untuk bahagian hadapan laman webnya. Setelah masuk, mereka menyuntik kod JavaScript berniat jahat ke bahagian hadapan Polymarket, yang menyajikan serangan gaya phishing kepada sebilangan kecil pengguna. Kontrak pintar teras dan infrastruktur blok rantai tidak terjejas — pelanggaran itu semata-mata vektor rantaian bekalan bahagian hadapan .

Butiran teknikal utama termasuk:

• Sasaran: Skrip berniat jahat menyasarkan kurang daripada 15 akaun, dengan data rantaian daripada Bubblemaps menunjukkan sekurang-kurangnya 11 dompet dikosongkan .
• Aset dicuri: Aset yang dicuri ialah pUSD (USDC berbentuk jambatan Polymarket di Polygon). Penyerang menghubungkan dana dari Polygon ke Ethereum dan menukarnya kepada kira-kira 1,893 ETH .
• Anggaran kerugian: Penganalisis keselamatan bebas Specter meletakkan kerugian yang disahkan pada $2.94 juta, manakala Polymarket dan pelbagai sumber membundarkannya kepada kira-kira $3 juta .

Serangan ini mengeksploitasi kelemahan klasik dalam platform kripto: walaupun kontrak pintar blok rantai selamat, kebergantungan pihak ketiga boleh memperkenalkan kelemahan. Pengguna yang berinteraksi dengan laman web Polymarket yang sah telah ditipu untuk meluluskan transaksi penipuan kerana kod berniat jahat berjalan di domain platform sebenar .

Langkah Keselamatan yang Diambil oleh Polymarket

Tindak balas segera Polymarket, yang diumumkan di X/Twitter, termasuk:

• Pembendungan dan penyingkiran kebergantungan pihak ketiga yang terjejas dari bahagian hadapannya
• Bayaran balik penuh kepada semua pengguna yang terjejas — syarikat itu komited untuk membayar ganti rugi kepada mangsa
• Siasatan berterusan, walaupun Polymarket enggan menamakan vendor yang terlibat

Tindak balas itu pantas — syarikat mengesan dan mengesahkan pelanggaran pada pagi yang sama ia berlaku. Walau bagaimanapun, ini adalah insiden keselamatan kedua Polymarket dalam tempoh kurang daripada dua bulan. Pada pertengahan Mei 2026, hack dompet dalaman mengakibatkan kerugian kira-kira $700,000 selepas kompromi kunci peribadi . Insiden sebelumnya itu juga tidak menjejaskan dana pengguna secara langsung, tetapi ia menandakan kelemahan dalam keselamatan operasi Polymarket yang disahkan oleh serangan rantaian bekalan Jun.

Skandal Pemasaran Menipu

Beberapa hari sebelum hack, pada 20 Jun 2026, Wall Street Journal menerbitkan siasatan besar yang mendedahkan bahawa Polymarket telah membayar pencipta media sosial untuk menghasilkan video yang secara palsu menunjukkan pengguna memenangi jumlah wang yang besar di platform .

Penemuan utama daripada siasatan WSJ:

• Penganalisis menyemak 1,105 video tentang Polymarket di platform sosial. 778 daripadanya menunjukkan taruhan palsu di laman web klon — tiada satu pun menggunakan pertukaran Polymarket secara langsung .
• Video itu secara kolektif menunjukkan kemenangan berjumlah $1.9 juta .
• Polymarket menyediakan pencipta dengan bahan arahan tentang cara mereka bentuk taruhan .
• Pada 26 Jun 2026 — sehari selepas hack — Persatuan Advokat Pengguna Nasional (National Association of Consumer Advocates) memfailkan saman menuduh Polymarket merancang skim pemasaran menipu, membayar iklan rahsia, dan secara agresif menyasarkan pelajar kolej sambil menyembunyikan kebarangkalian kerugian .
• Polymarket bertindak balas dengan mengatakan ia sedang mengaudit kandungan promosinya .

Laporan WSJ memperincikan bagaimana kontraktor pemasaran, Virality, menguruskan rangkaian pencipta dan membayar pencipta antara $2,000 dan $3,000 sebulan — dengan bayaran bergantung kepada sekurang-kurangnya 60% daripada penonton mereka berpangkalan di A.S., walaupun terdapat ketidakpastian peraturan sekitar pasaran ramalan .

Bagaimana Krisis Ini Saling Memburukkan

Skandal berturut-turut ini mewujudkan krisis kepercayaan yang semakin kompleks dalam beberapa dimensi:

Dimensi	Kesan
Kepercayaan keselamatan	Dua pelanggaran dalam dua bulan — kompromi dompet dalaman pada Mei diikuti hack rantaian bekalan $3J pada Jun — menunjukkan pengurusan risiko vendor pihak ketiga yang tidak mencukupi
Integriti operasi	Skandal video palsu menunjukkan bahawa Polymarket secara sukarela mengelirukan orang ramai tentang hasil taruhan. Pengguna kini mempunyai sebab untuk mempersoalkan sama ada mana-mana kandungan promosi — atau data pasaran — adalah tulen
Pendedahan peraturan	Saman advokat pengguna, digabungkan dengan hack, mengukuhkan kes untuk tindakan peraturan. Polymarket sudah pun menghadapi penelitian daripada CFTC dan beroperasi di bawah penyelesaian SEC $1.4 bilion dari 2024 kerana mengendalikan pertukaran tidak berdaftar
Keyakinan pengguna	Platform yang kedua-duanya memalsukan hasil kemenangan dan gagal melindungi bahagian hadapannya daripada kelas serangan yang diketahui (suntikan JS rantaian bekalan) memberi pengguna sedikit sebab untuk mempercayainya dengan dana sebenar

Masa adalah penting: hack berlaku lima hari selepas siasatan WSJ, bermakna kegagalan keselamatan serta-merta mengesahkan pengkritik yang berpendapat bahawa piawaian operasi dan etika Polymarket sangat longgar. Syarikat kini menghadapi krisis keselamatan, undang-undang, dan reputasi serentak tanpa laluan jelas untuk memulihkan kepercayaan pengguna.

Implikasi Lebih Luas untuk Platform Kripto

Hack rantaian bekalan Polymarket adalah sebahagian daripada corak yang lebih luas dalam keselamatan kripto. Serangan rantaian bekalan yang menyasarkan vendor pihak ketiga semakin biasa kerana ia memintas keselamatan kukuh infrastruktur blok rantai. Vektor serangan — suntikan JavaScript berniat jahat melalui kebergantungan bahagian hadapan yang terjejas — terkenal tetapi sukar untuk dicegah tanpa penelitian vendor yang ketat dan kawalan integriti kod .

Bagi pengguna yang berinteraksi dengan mana-mana platform kripto, insiden Polymarket menekankan beberapa pengajaran:

• Keselamatan kontrak pintar tidak mencukupi jika kebergantungan bahagian hadapan terjejas
• Risiko vendor pihak ketiga memerlukan pemantauan berterusan, bukan hanya usaha wajar awal
• Pelbagai insiden keselamatan dalam tempoh yang singkat menunjukkan kelemahan sistemik, bukan kegagalan terpencil

Kes Polymarket juga menyerlahkan kerosakan reputasi yang berlaku apabila kegagalan keselamatan berlaku sejurus selepas pemasaran menipu terdedah. Pengguna mungkin tertanya-tanya: jika platform sanggup menipu orang ramai tentang hasil kemenangan, apa lagi yang sanggup ditipu?

Polymarket telah komited untuk membayar balik semua pengguna yang terjejas, tetapi syarikat itu tidak menamakan vendor yang terjejas atau memberikan butiran tentang bagaimana pelanggaran itu akan menghalang insiden masa depan . Tanpa ketelusan dan penambahbaikan keselamatan yang bermakna, memulihkan kepercayaan pengguna akan menjadi pendakian yang sukar.