Polymarket menghadapi apa yang banyak pengguna artikan sebagai kemungkinan peretasan pada 22 Mei setelah peringatan publik menggambarkan aliran cepat POL di platform pasar prediksi. Akun terkait Polymarket kemudian mengatakan bahwa insiden tersebut bukanlah eksploitasi kontrak pintar dan tidak memengaruhi dana pengguna atau penyelesaian pasar.
Gelombang kekhawatiran pertama datang dari penyelidik on-chain ZachXBT dan firma analitik blockchain Bubblemaps. ZachXBT mengatakan bahwa sebuah alamat admin Polymarket tampaknya telah diretas di Polygon, dengan lebih dari $520.000 ditarik pada saat peringatan Telegram-nya.
Bubblemaps kemudian memperingatkan bahwa para penyerang menghapus 5.000 POL kira-kira setiap 30 detik dan sekitar $600.000 telah dicuri sejauh ini, sambil menyarankan pengguna untuk menghentikan aktivitas Polymarket.
Penjelasan selanjutnya dari Polymarket mengalihkan masalah dari kegagalan pasar inti menuju pelanggaran keamanan operasional internal. Temuan menunjukkan adanya kompromi kunci pribadi pada dompet yang digunakan untuk “operasi top-up internal,” menurut Pengembang Polymarket, bukan “kontrak atau infrastruktur inti.”
Insinyur perangkat lunak Polymarket Shantikiran Chanal secara serupa mengatakan, “Dana pengguna dan penyelesaian pasar aman,” menambahkan bahwa masalah tersebut terkait dengan laporan pembayaran hadiah.
Hal itu menyiratkan risiko yang berbeda. Kegagalan kontrak atau penyelesaian akan menimbulkan pertanyaan apakah pasar dapat diselesaikan dengan benar atau apakah posisi pengguna terpapar. Kompromi dompet pendanaan internal, meskipun tetap serius, justru menunjuk pada manajemen kunci, layanan pengisian ulang, dan kontrol operasional seputar dompet yang mendukung platform.
[
Bacaan Terkait
Crypto menemukan kesesuaian pasar produk senilai $64 miliar pada 2025 tetapi ketergantungan pada login terpusat telah menciptakan celah keamanan kritis
Pengadopsian pasar prediksi oleh arus utama menimbulkan tantangan kepercayaan sistemik dan menyoroti ambiguitas dalam mekanisme penyelesaian untuk platform crypto.
11 Feb 2026 · Oluwapelumi Adejumo
Peringatan publik bergerak lebih cepat daripada penjelasan kompromi kunci pribadi
Garis waktu bergerak cepat. Postingan Telegram ZachXBT pada pukul 08:22 UTC menggambarkan sebuah alamat admin Polymarket yang tampaknya telah diretas di Polygon dan mengidentifikasi alamat penyerang sebagai 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
Postingan yang sama mencantumkan alamat terkait dan yang telah ditarik, memberi analis on-chain jejak untuk ditelusuri.
Bubblemaps memperkuat peringatan pada pukul 08:51 UTC, menggambarkan situasi tersebut sebagai eksploitasi kontrak Polymarket, jenis peringatan eksploitasi Polymarket yang akan langsung menimbulkan kekhawatiran tentang infrastruktur inti, dan mengatakan bahwa penyerang menghapus 5.000 POL setiap 30 detik.
Data on-chain menunjukkan mengapa peringatan tersebut menarik perhatian. Transaksi PolygonScan pada pukul 09:01:19 UTC menunjukkan 5.000 POL berpindah ke alamat Admin Adapter UMA CTF yang dilabeli Polymarket.
Tujuh detik kemudian, transaksi PolygonScan lainnya menunjukkan 4.999,994 POL berpindah dari alamat admin yang dilabeli tersebut menuju alamat penyerang yang juga dilabeli. Halaman alamat penyerang ditandai oleh PolygonScan sebagai “Polymarket Adapter Exploiter 1” dan menunjukkan transfer berulang sepanjang rentang waktu peringatan.
Pasangan transaksi tersebut mendukung pola aliran yang terlihat dan memicu alarm publik serta memberikan contoh konkret dari aliran transfer yang kemudian dijelaskan oleh anggota tim Polymarket sebagai melibatkan pengisi ulang internal, sementara menyisihkan penyebab utama kepada pernyataan tim.
| Pertanyaan | Peringatan awal | Penjelasan terkait Polymarket |
|---|---|---|
| Apa yang sedang terjadi? | Bubblemaps memperingatkan bahwa 5.000 POL sedang dihapus kira-kira setiap 30 detik. | Pernyataan tim menghubungkan laporan tersebut dengan pembayaran hadiah atau aktivitas top-up internal. |
| Apakah ini eksploitasi kontrak? | Bubblemaps awalnya menggambarkannya sebagai eksploitasi kontrak Polymarket. | Akun terkait Polymarket mengatakan temuan menunjuk jauh dari kontrak atau infrastruktur inti. |
| Apakah dana pengguna terpengaruh? | Peringatan pertama menyarankan pengguna untuk menghentikan aktivitas. | Shantikiran Chanal dan Pengembang Polymarket mengatakan dana pengguna dan penyelesaian pasar aman. |
| Apa yang masih belum terselesaikan? | Estimasi kerugian langsung sekitar $600.000 pada peringatan Bubblemaps. | Jumlah kerugian akhir, set lengkap alamat yang terkena dampak, dan rincian perbaikan masih belum pasti. |
[
Bacaan Terkait
Peluncuran stablecoin Polymarket tampak bearish untuk USDC, tetapi pergeseran sebenarnya lebih dalam
Token baru Polymarket mungkin tidak mengurangi permintaan USDC, tetapi bisa membuat permintaan tersebut lebih sulit terlihat dan lebih mudah salah tafsir.
7 Apr 2026 · Andjela Radmilac
](https://cryptoslate.com/polymarket-usd-stablecoin-impact-on-usdc-demand/)
Pernyataan tim menunjuk pada kompromi kunci pribadi Polymarket
Penulisan resmi yang paling jelas berasal dari akun Pengembang Polymarket, yang menggambarkan insiden tersebut sebagai kompromi kunci pribadi Polymarket yang melibatkan dompet yang digunakan untuk operasi top-up internal.
Redaksi tersebut mengalihkan insiden tersebut dari kategori kerentanan kontrak pintar langsung menuju pertanyaan yang lebih operasional: siapa yang mengendalikan kunci tersebut, bagaimana kunci tersebut terpapar, dan mengapa proses yang terkena dampak terus mengirimkan POL ke alamat yang bisa ditarik.
Pernyataan Chanal menggunakan bahasa serupa, mengatakan bahwa laporan tersebut terkait pembayaran hadiah dan temuan menunjuk pada kompromi kunci pribadi pada dompet yang digunakan untuk operasi internal. Dalam balasan kepada pengguna, Chanal mengatakan dompet-dompet tersebut “sangat aman” dan tim sedang menyelidiki sistem backend dan rahasia sambil mengganti kunci.
Mustafa, sumber terkait Polymarket lainnya, memberikan penjelasan paling langsung tentang perbedaan kontrak. Dia mengatakan “Kontrak CTF tidak dieksploitasi,” menambahkan bahwa masalah tersebut melibatkan alamat ops internal yang digunakan oleh layanan yang memeriksa dan mengisi ulang saldo setiap beberapa detik.
Ia juga mengatakan semua dana pengguna aman dan alamat tersebut sedang diganti.
Dokumentasi Polymarket sendiri membantu menjelaskan pentingnya perbedaan tersebut. Platform tersebut mengatakan pasar menggunakan UMA untuk penyelesaian dan posisi pemenang ditukarkan setelah penyelesaian melalui mekanisme terkait CTF.
[
Bacaan Terkait
Polymarket menghadapi krisis kredibilitas besar setelah paus memaksa pemungutan suara “YA” UFO tanpa bukti
Para pedagang larut malam membeli peluang pada 99 sen tepat sebelum pemungutan suara tertimbang token membatalkan konsensus publik, mengungkap kelemahan besar dalam pasar "kebenaran".
10 Des 2025 · Liam 'Akiba' Wright
Dokumentasi CTF-nya menjelaskan token hasil untuk pasar prediksi dan mencatat bahwa pasangan Ya/Tidak sepenuhnya dijamin. Dengan latar belakang tersebut, kegagalan langsung dalam infrastruktur CTF atau penyelesaian akan menimbulkan pertanyaan berbeda dibandingkan dompet yang diretas yang digunakan untuk hadiah atau top-up internal.
Pernyataan tim yang diketahui menempatkan masalah tersebut di luar infrastruktur penyelesaian pasar inti. Mereka meninggalkan pertanyaan keamanan operasional tetap terbuka.
Kunci pribadi adalah lapisan otoritas untuk dompet blockchain, dan kunci internal yang diretas tetap bisa memindahkan dana, memicu kepanikan publik, dan mengekspos kelemahan dalam pemantauan atau aliran pendanaan otomatis bahkan ketika saldo perdagangan pengguna dan penyelesaian pasar bukan targetnya.
Pembaruan berikutnya harus menyelesaikan rincian kerugian dan perbaikan
Bagi pengguna saat ini, tim Polymarket mengatakan insiden tersebut terbatas pada operasi internal, artinya dana pengguna Polymarket, kontrak inti, dan proses penyelesaian pasar berada di luar jalur yang terkena dampak.
Pertanyaan yang tersisa adalah berapa jumlah kerugian akhirnya dan apa yang berubah setelah tim menemukan kunci yang diretas.
Angka pertama yang tersedia dari ZachXBT adalah lebih dari $520.000 yang ditarik. Bubblemaps kemudian mengatakan sekitar $600.000 telah dicuri pada saat peringatannya.
Halaman on-chain menunjukkan jejak transfer yang representatif, tetapi catatan publik saat ini masih belum menentukan jumlah kerugian yang diaudit secara final, set lengkap alamat yang terkena dampak, dan status pemulihan.
Tindak lanjut operasional sama pentingnya. Pernyataan terkait Polymarket mengatakan alamat yang terkena dampak sedang diganti dan tim sedang menyelidiki sistem backend dan rahasia.
Hal itu meninggalkan beberapa pertanyaan aktif: apakah pergantian sudah selesai, apakah kredensial layanan pengisi ulang yang terhubung telah bocor, apakah dompet yang diretas memiliki izin di luar transfer yang diamati, dan apakah platform akan merilis laporan insiden yang menjelaskan kegagalan tersebut.
Bagi para pedagang, implikasi praktisnya adalah bahwa redaksi publik awal tampaknya terlalu berlebihan dalam sudut pandang eksploitasi kontrak berdasarkan pernyataan tim Polymarket selanjutnya. Aliran dana internal yang terus-menerus tetap merupakan insiden keamanan, terutama bagi platform yang penggunanya bergantung pada pemisahan jelas antara dompet operasional, sistem hadiah, dan infrastruktur pasar.
Sampai Polymarket merilis pembaruan akhir, tim telah mengatakan kepada pengguna bahwa dana mereka dan penyelesaian pasar aman, sementara catatan rantai publik menunjukkan aliran POL yang cepat dari infrastruktur yang dilabeli Polymarket.
Pengungkapan berikutnya harus menyatakan kerugian akhir, mengonfirmasi pergantian alamat, dan menjelaskan apa yang berubah setelah kompromi kunci pribadi Polymarket mengubah dompet internal menjadi pusat alarm aliran dana yang sedang berlangsung.
Postingan Polymarket mengalami aliran POL langsung saat tim menepis eksploitasi kontrak yang ditakuti pertama kali muncul di CryptoSlate.