Polymarket diretas oleh peretas xorcat, 300.000 catatan dan alat kerentanan terekspos, platform merespons: memang dirancang untuk publik

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯2454 kata

Saat pemimpin pasar prediksi Polymarket sedang dalam pembicaraan pendanaan sebesar 400 juta USD dengan valuasi mencapai 15 miliar USD, aktor ancaman xorcat pada 27 April secara terbuka merilis lebih dari 300.000 catatan pengguna di forum kejahatan siber, lengkap dengan exploit kit, dan mengklaim telah mengekstraksi data secara massal melalui bypass paginasi API dan kesalahan konfigurasi CORS. Polymarket membantah telah diretas, menyatakan bahwa semua data "memang dirancang untuk dapat diakses publik"—namun penyangkalan ini kemungkinan sulit untuk meredam kekhawatiran pihak luar mengenai keamanan data KYC dan kepercayaan regulasi pasar prediksi. (Ringkasan sebelumnya: Polymarket dalam pembicaraan pendanaan 400 juta USD, valuasi mencapai 15 miliar: ICE baru saja menginvestasikan 600 juta bulan lalu, pasar prediksi memasuki periode kegilaan Wall Street) (Latar belakang: "Tangan Tuhan" Polymarket: Kontroversi prediksi yang sering terjadi, kotak hitam kekuasaan keputusan di bawah dilema "sentralisasi") Pemimpin pasar prediksi yang bernilai 15 miliar USD dan sedang dalam pendanaan besar-besaran ini menerima pukulan telak di saat yang paling sensitif. Pada 27 April 2026, aktor ancaman yang menyebut dirinya xorcat memposting di forum kejahatan siber terkenal, mengklaim telah berhasil meretas Polymarket dan merilis lebih dari 300.000 catatan pengguna, bersama dengan satu set lengkap exploit kit dan skrip PoC yang dapat dijalankan. Informasi ini pertama kali diungkapkan oleh akun intelijen keamanan Dark Web Informer di X, yang kemudian memicu diskusi luas di komunitas kripto. ‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified. ⠀ ‣ Threat Actor: xorcat ‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026 Menurut postingan forum xorcat, ekstraksi data ini bukanlah peretasan paksa, melainkan memanfaatkan tiga cacat desain kritis pada infrastruktur API Polymarket: - Undocumented endpoints: Mengakses lapisan basis data secara langsung melalui antarmuka tersembunyi yang tidak tercantum dalam dokumentasi resmi. - Weak pagination controls: Memasukkan 999.999 ke dalam parameter limit API transaksi CLOB, melewati batas kueri yang seharusnya, mengekstraksi semua catatan dalam satu batch tanpa memicu rate limiting apa pun. - CORS misconfiguration: Pengaturan Cross-Origin Resource Sharing yang mengizinkan credentialed cross-origin requests dari asal mana pun, yang secara teoritis memungkinkan penyerang memalsukan identitas pengguna yang sah untuk memulai permintaan. Dalam postingannya, xorcat menyatakan bahwa mereka tidak memberi tahu Polymarket sebelumnya, dengan alasan yang lugas: "Platform tidak memiliki bug bounty program." Polymarket membantah semua tuduhan tersebut. Platform mengklaim bahwa data yang disebut "bocor" oleh xorcat pada dasarnya adalah "publicly accessible on-chain and API data", menekankan bahwa arsitektur on-chain mereka memang dirancang agar data dapat diaudit secara publik dan dapat diperoleh secara bebas melalui endpoint publik, tanpa ada informasi pribadi yang bocor. Argumen ini secara teknis tidak sepenuhnya tidak berdasar—logika inti pasar prediksi memang dibangun di atas transparansi, dan catatan transaksi on-chain yang dapat diperiksa secara publik adalah niat desain aslinya. Namun, para kritikus segera menunjukkan bahwa "data yang dirancang untuk publik" dan "data yang dikumpulkan secara sistematis menjadi dataset yang dapat diperdagangkan dan beredar di forum kriminal" adalah dua hal yang sangat berbeda. Kesalahan konfigurasi CORS yang mengizinkan permintaan lintas domain dengan kredensial juga sama sekali bukan bagian dari "desain publik yang normal". Area paling kabur dalam penyangkalan Polymarket terletak pada kepemilikan data KYC (Know Your Customer). Sejak Polymarket disetujui oleh CFTC untuk kembali ke Amerika Serikat sebagai "Designated Contract Market", pengguna AS harus menyelesaikan prosedur KYC lengkap, menyerahkan nama, SSN, dan alamat. Jika 300.000 catatan yang bocor mengandung kolom KYC apa pun, tingkat keparahannya akan jauh melampaui definisi "data publik" yang diremehkan oleh platform. Saat ini, Polymarket belum memberikan penjelasan yang jelas apakah data KYC termasuk dalam cakupan kebocoran. Insiden ini bukan pertama kalinya Polymarket menghadapi krisis keamanan. Dalam beberapa bulan

Status data✓ Teks lengkap telah diambilBaca artikel asli (動區 BlockTempo)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset3 berita

2026-04-29

Dark Web Mengklaim Peretasan Polymarket, Namun Platform Tersebut Membalas

Tingkat kemiripan 120%關鍵字 polymarket同分類 hot

2026-04-27

Rumania Memblokir 300 Situs dan Meluncurkan Dana Perawatan €5 Juta Saat Larangan Polymarket Ditetapkan di Pengadilan

Tingkat kemiripan 120%關鍵字 polymarket同分類 hot

2026-04-24

Trump Sebut Dunia Menjadi 'Kasino' Saat Seorang Tentara Didakwa Terkait Taruhan Maduro di Polymarket

Tingkat kemiripan 120%關鍵字 polymarket同分類 hot

💡 Saat ini menggunakan pencocokan kata kunci + aset (MVP) · Akan ditingkatkan ke pencarian semantik embedding di masa mendatang