Polymarket menolak klaim 'omong kosong' tentang pelanggaran data oleh penjual web gelap

Polymarket telah menepis klaim tentang pelanggaran data besar-besaran oleh penjual web gelap, menyebut laporan tersebut sebagai “omong kosong.” Aktor ancaman yang menggunakan nama “xorcat” mengklaim telah membocorkan basis data yang mempengaruhi lebih dari 300 ribu catatan dan Exploit Kit, yang berisi sekitar 1GB catatan (nama, pseudonim, dan alamat dompet).

Pelaku, yang mengaku membocorkan data Polymarket di sebuah forum kejahatan siber populer, menjelaskan bahwa data diekstrak melalui endpoint API yang tidak didokumentasikan, bypass pagination, dan konfigurasi CORS yang salah di API Gamma dan CLOB Polymarket. Paket tersebut juga termasuk skrip auto-dump dan POC yang berfungsi untuk beberapa CVE.

Secara khusus, data yang diambil mencakup 10.000 profil pengguna unik dengan PII lengkap (nama, pseudonim, bio, gambar profil, dompet proxy, dan alamat dasar), serta lebih dari 4.111 komentar dengan objek profil terlampir.

Pelaku juga menyediakan skrip proof-of-concept dan mengklaim bahwa data tersebut mencakup 1.000 catatan laporan yang berisi 58 alamat ETH unik dan indikator admin_auth_addr, serta lebih dari 48.000 pasar gamma dengan metadata lengkap, ID kondisi, dan ID token.

Selain itu, terdapat lebih dari 250.000 pasar CLOB aktif dengan alamat FPMM, dan lebih dari 292 acara dengan alamat ETH pengirim/penyelesai dan username internal. Kebocoran ini juga menyertakan 100 konfigurasi hadiah dengan alamat kontrak USDC dan tarif harian, 9.000 profil pengikut (dengan nama, pseudonim, dan dompet proxy), serta ID pengguna internal yang terekspos di bidang createdBy/updatedBy.

Pelanggaran Polymarket menimbulkan ancaman keamanan nasional

Polymarket berada di pusat skandal integritas besar yang menimbulkan jenis pelanggaran berbeda—yaitu status keamanan nasional. DOJ dan CFTC menggunakan pelanggaran terbaru ini sebagai contoh utama mengapa pasar prediksi membutuhkan pengawasan yang lebih ketat, berargumen bahwa mereka dapat mendorong bocornya intelijen rahasia demi keuntungan. Hal ini mengekspos trader—termasuk tokoh politik terkenal—ke phishing yang ditargetkan atau pelecehan.

Klaim ini mengikuti pola kegagalan keamanan siber yang dikonfirmasi yang telah mengguncang kepercayaan pengguna selama enam bulan terakhir. Penyerang dalam manipulasi API/Bot Februari 2026 mengeksploitasi cacat desain dalam sistem pesanan Polymarket, dan merancang “nonce” untuk membatalkan perdagangan on-chain sambil menjaga catatan off-chain tetap valid. Hal ini menyebabkan bot mengalami kerugian besar berdasarkan laporan API yang salah.

Polymarket juga mengonfirmasi pelanggaran otentikasi pihak ketiga lain pada Desember 2025. Pelanggaran ini terkait dengan kerentanan dalam alat login pihak ketiga (laporan Magic Labs), yang memungkinkan penyerang menguras dana bahkan dari akun dengan 2FA diaktifkan. Serangan phishing lain pada November 2025 di bagian komentar Polymarket menyebabkan kerugian pengguna lebih dari $500.000.

Regulator beralih ke pelarangan aktif seiring volume pasar prediksi meningkat

Regulator beralih dari pengamatan pasif ke pelarangan aktif seiring pertumbuhan volume pasar prediksi. Pemerintah Brasil memblokir 27 platform pada April 2026 (termasuk Kalshi dan Polymarket), dengan alasan kekhawatiran terhadap utang rumah tangga dan perlindungan konsumen.

Otoritas di Rumania dan Portugal juga baru-baru ini memblokir kontrak politik tertentu untuk mencegah taruhan spekulatif pada pemilu.

Sementara itu, Polymarket telah mengadopsi aturan internal yang lebih ketat sejak Maret 2026. Aturan tersebut secara eksplisit melarang perdagangan berdasarkan informasi yang dicuri atau pengetahuan “orang dalam” tentang peristiwa geopolitik. Polymarket juga menandatangani Perjanjian Layanan Regulasi dengan Asosiasi Futures Nasional (NFA) untuk menerapkan pengawasan waktu nyata. Langkah ini menandai pergeseran menuju kepatuhan keuangan arus utama.

Regulator juga telah memeriksa secara dekat perdagangan berprofil tinggi, seperti taruhan $32.000 pada penangkapan Nicolás Maduro, yang menghasilkan keuntungan $436.000 tepat sebelum berita resmi diumumkan pada Januari 2026. Gedung Putih dan berbagai lembaga sejak itu memperingatkan agar tidak melakukan perdagangan berdasarkan informasi non-publik terkait konflik geopolitik, seperti perang AS-Iran.

Di sisi lain, analis Bernstein Gautam Chhugani memperkirakan kejelasan regulasi yang meningkat di tingkat federal akan mendorong pertumbuhan pasar prediksi. Dia memperkirakan bahwa total volume pasar prediksi akan mencapai $240 miliar pada 2026 (+370% dari tahun lalu).

Chhugani juga memproyeksikan bahwa volume perdagangan pasar prediksi akan mencapai $1 triliun setahun menjelang awal dekade berikutnya dengan tingkat pertumbuhan tahunan majemuk sekitar 80% antara 2025 dan 2030. Komposisi kontrak yang diperdagangkan juga kemungkinan akan berubah.

Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetap di sana dengan newsletter kami.