Hacker Bobol Polymarket, Aset Kripto Rp 9 Miliar Dikuras

Investigasi awal mengungkap peretasan Polymarket kemungkinan dipicu kebocoran akses admin, bukan bug pada smart contract.

Diterbitkan 23 Mei 2026, 16:00 WIB
Share
Copy Link
Batalkan

Liputan6.com, Jakarta - Platform prediksi berbasis blockchain Polymarket dilaporkan mengalami insiden keamanan yang menyebabkan dana jaminan (collateral) lebih dari USD 520.000 atau sekitar Rp 9,2 miliar (asumsi kurs Rp 17.696 per dolar AS) terkuras dari sistem.

Insiden tersebut terjadi pada 22 Mei 2026 dan menyasar kontrak UMA CTF Adapter milik Polymarket yang berjalan di jaringan Polygon.

Dikutip dari CoinMarketCap, Sabtu (23/5/2026), peneliti blockchain ZachXBT menjadi pihak pertama yang menyoroti kejadian ini melalui peringatan kepada komunitas kripto. Ia menyebut alamat deployer yang telah dikompromikan diduga menjadi pintu masuk serangan.

Berdasarkan data blockchain, proses pengurasan dana berlangsung dalam waktu singkat, sekitar pukul 09.00 UTC.

Hingga laporan ini dibuat, belum ada pernyataan resmi dari Polymarket maupun UMA terkait insiden tersebut.

Serangan diketahui menyasar kontrak administrator Polymarket UMA CTF Adapter di alamat 0x91430C...E5c5.

Kontrak ini menggunakan sistem upgradeable proxy yang berfungsi mengelola adaptor utama penyimpanan dana jaminan pasar.

Data di blockchain menunjukkan aktivitas awal yang mencurigakan mulai muncul sekitar pukul 09.00:30 UTC.

 

 

Kronologi

Tak lama setelah aktivitas awal tersebut muncul, transaksi terkait token asli Polygon, yakni POL, mulai terdeteksi.

Pada pukul 09.00:49 UTC, kontrak administrator menerima 5.000 POL dari salah satu alamat Polymarket.

Lima detik setelahnya, kontrak tersebut mengirim hampir 9.994 POL ke alamat yang diduga dikuasai pelaku.

Pola yang sama kembali terjadi beberapa saat kemudian.

Pada pukul 09.01:19 UTC, kontrak menerima tambahan 5.000 POL sebelum kembali mengirim hampir 5.000 POL ke alamat yang sama pada pukul 09.01:26 UTC.

Dalam waktu kurang dari satu menit, lebih dari 10.000 POL berhasil dipindahkan keluar dari sistem.

Alamat yang sebelumnya diidentifikasi ZachXBT, yakni 0x871D7c0f dan 0xf61e39C7, diketahui mengirimkan dana jaminan ke adaptor yang kemudian ditarik oleh pelaku melalui kontrak administrator.

Sementara itu, alamat utama pelaku dilaporkan menerima dana tersebut dan mulai mengonsolidasikan aset yang berhasil dicuri.

 

Masalah Akses Keamanan

Berdasarkan hasil penelusuran awal, insiden ini diduga bukan dipicu oleh kelemahan smart contract, melainkan masalah akses keamanan.

Rangkaian transaksi yang terjadi menunjukkan adanya kemungkinan pencurian kunci akses (key theft) atau celah pada proses inisialisasi kontrak.

Meskipun kontrak tersebut menggunakan teknologi oracle UMA, titik lemahnya diduga muncul pada sistem kontrol akses administrator.

Dengan memperoleh hak administrator, pelaku bisa menarik seluruh dana jaminan tanpa perlu melakukan eksploitasi teknis yang rumit.

Kasus ini disebut memiliki pola serupa dengan beberapa peretasan besar lain yang terjadi sepanjang 2026.

Sebelumnya, peretasan Step Finance yang menyebabkan kerugian sekitar USD 27,3 juta terjadi akibat kebocoran executive key dan mekanisme multi-signature.

Sementara itu, kasus Drift Protocol yang mengakibatkan kerugian sekitar USD 285 juta pada April 2026 juga dipicu manipulasi terhadap kunci administrator.

Dalam dua kasus tersebut, tidak ditemukan kerentanan perangkat lunak pada smart contract.