24 Desember 2025 β Polymarket, sebuah platform pasar prediksi terdesentralisasi, mengonfirmasi bahwa kerentanan keamanan pada penyedia otentikasi pihak ketiga menyebabkan akses tidak sah dan transfer dana dari akun pengguna. Pelanggaran tersebut terutama berdampak pada pengguna yang mendaftar melalui Magic Labs, sebuah layanan yang menyediakan pembuatan dompet berbasis email dengan satu klik untuk akun Ethereum.
Beberapa pengguna melaporkan penarikan saldo mendadak meskipun telah mengaktifkan otentikasi dua faktor pada akun email mereka. Analisis transaksi on-chain mengungkapkan bahwa penyerang memanfaatkan celah otentikasi untuk melewati kendali masuk, melakukan pemanggilan kontrak pintar yang memindahkan Ether dan token ERC-20 ke alamat yang dikendalikan penyerang.
Tim rekayasa Polymarket mengidentifikasi penyebab utama pada lapisan integrasi Magic Labs dan menerapkan patch pada tanggal 23 Desember. Dalam pengumuman resmi di Discord, perusahaan menyatakan bahwa kerentanan tersebut telah terkendali dan tidak ada insiden lebih lanjut yang terdeteksi. Polymarket tidak mengungkapkan jumlah total akun yang terdampak atau volume aset yang terkompromikan, tetapi menekankan bahwa protokol perdagangan inti dan kontrak pintar tetap aman.
Platform ini berencana beralih ke jaringan Ethereum Layer 2 milik mereka sendiri, POLY, dan menghentikan layanan login pihak ketiga untuk menghilangkan ketergantungan serupa. Pengguna yang terdampak akan menerima komunikasi langsung yang menjelaskan opsi pemulihan, meskipun Polymarket tidak berkomitmen untuk kompensasi atas kerugian.
Para ahli industri menyoroti insiden ini sebagai pelajaran berhati-hati tentang risiko outsourcing mekanisme otentikasi yang krusial. Seiring proyek Web3 semakin mengandalkan SDK eksternal untuk proses onboarding pengguna, audit keamanan yang ketat dan kontrol cadangan sangat penting untuk mencegah kerentanan sistemik.
β CryptoReporter.
Komentar (0)