Bagaimana verifikasi pihak ketiga menjadi titik lemah platform crypto: materi pembelajaran dari Polymarket

Sektor aplikasi terdesentralisasi bergantung pada kemudahan akses bagi pemula. Untuk mencapai tujuan ini, banyak platform mengintegrasikan penyedia otentikasi dan dompet eksternal. Arsitektur semacam ini mempercepat proses pendaftaran, tetapi sekaligus menciptakan vektor serangan baru. Peristiwa terbaru di Polymarket menunjukkan bahwa bahkan protokol yang dilindungi pun dapat memiliki kerentanan di tingkat sistem operasi akses.

Dari insiden sebelumnya hingga krisis Desember: pola dalam sistem

Polymarket bukan kali pertama menghadapi masalah keamanan di tingkat masuk. Pada September 2024, pengguna melaporkan transfer USDC yang tidak sah melalui eksploitasi otentikasi Google. Penyerang menggunakan panggilan fungsi “proxy” untuk mengarahkan dana ke alamat phishing. Saat itu, platform menganggap insiden tersebut sebagai serangan yang ditargetkan terhadap layanan verifikasi pihak ketiga.

November 2025 membawa gelombang lain — penipu menempatkan tautan tersembunyi di komentar platform, mengarahkan pengguna ke halaman palsu untuk merebut data email. Kerugian melebihi $500.000. Ini menunjukkan adanya masalah sistemik yang tidak hanya menyangkut teknologi, tetapi juga aspek perilaku.

Pada 24 Desember 2025, Polymarket mengumumkan langkah pengamanan baru yang kembali menyentuh otentikasi pihak ketiga. Penyerang berhasil mendapatkan akses ke sejumlah akun terbatas dengan memanfaatkan kerentanan pada layanan masuk. Perusahaan tidak menyebutkan penyedia tertentu, tetapi pengguna di Reddit dan Discord mengindikasikan Magic Labs sebagai titik masuk umum saat pendaftaran.

Mekanisme serangan: ketika email-dompet menjadi sasaran

Pengguna Polymarket semakin sering memilih masuk melalui “magic link” — tautan unik yang dikirim ke email. Metode ini menarik bagi pemula yang tidak ingin mengelola ekstensi browser atau menyimpan seed phrase. Penyedia email-dompet secara otomatis membuat dompet Ethereum non-kustodian saat pendaftaran.

Namun, rantai keamanan bergantung pada penyedia di beberapa tahap kritis: verifikasi masuk, pemulihan akses, dan pengelolaan sesi. Jika salah satu tahap ini dikompromikan, seluruh dompet berada dalam ancaman.

Pengguna yang menjadi korban melaporkan kehilangan saldo secara mendadak tanpa sinyal konfirmasi yang jelas. Seorang pengguna melaporkan tiga percobaan masuk, setelah itu saldo-nya turun ke $0,01. Pengguna lain menyebutkan bahwa otentikasi dua faktor melalui email juga tidak menghentikan transfer langsung USDC ke alamat yang dikendalikan penyerang. Posisi di platform ditutup secara otomatis tanpa perintah eksplisit dari pengguna.

Risiko sistemik Web3: ketika smart contract bukan masalah utama

Peristiwa ini mengalihkan fokus dari keamanan protokol ke keamanan integrasi. Polymarket secara resmi mengonfirmasi bahwa protokol utama tetap aman. Masalah terbatas pada lapisan otentikasi. Perusahaan menyatakan bahwa perbaikan sudah diterapkan, dan risiko saat ini telah diatasi.

Namun, ini menimbulkan pertanyaan mendalam tentang arsitektur Web3. Sebagian besar solusi onboarding bergantung pada titik masuk terpusat. Ketika satu penyedia otentikasi memiliki kerentanan, pengguna dari banyak aplikasi terdesentralisasi sekaligus berada dalam bahaya. Akibatnya, layanan verifikasi dan pengelolaan dompet pihak ketiga menjadi rantai kritis yang sering kali paling lemah.

Pengguna mulai aktif membahas alternatif. Beberapa beralih ke koneksi langsung dompet untuk saldo besar, menghindari penyedia perantara. Yang lain membagikan alamat dompet mereka di thread publik untuk memverifikasi aktivitas mereka saat ini.

Pelajaran masa depan untuk ekosistem

Polymarket belum merilis analisis teknis rinci tentang insiden tersebut. Pertanyaan tentang jumlah dana yang dicuri, jumlah pengguna yang terdampak, dan rencana kompensasi masih belum terjawab. Kurangnya transparansi ini memperkuat ketidakpastian di pasar.

Namun, insiden ini menyoroti masalah yang lebih luas. Dalam ekosistem kripto, onboarding sering dianggap sebagai hal sekunder, dan fokus utama adalah pada smart contract dan protokol. Padahal, titik masuk — tempat di mana pengguna awam berinteraksi dengan layanan terdesentralisasi — menjadi titik rentan. Tanpa peninjauan ulang terhadap peran penyedia pihak ketiga dan peningkatan standar keamanannya, insiden serupa berpotensi terulang.