Kontrak Adaptor UMA CTF Polymarket di Polygon Dieksploitasi Lebih dari $520K

• ZachXBT mengatakan kontrak UMA CTF Polymarket di Polygon dieksploitasi lebih dari $520K.
• Penyerang membahayakan kunci pribadi lama milik dompet operasi internal Polymarket.
• Insiden ini menimbulkan kekhawatiran keamanan pasar prediksi baru dan dapat memengaruhi kepercayaan pengguna pada Polymarket.

Pada 22 Mei 2026, penyelidik on-chain terkemuka ZachXBT memperingatkan bahwa kontrak Universal Market Access (UMA) Conditional Token Framework (CTF) Adapter Polymarket di Polygon kemungkinan dieksploitasi dalam pelanggaran keamanan besar, dengan penyerang menguras lebih dari $520.000 dari alamat tertaut sejauh ini, terutama token POL dan USDC.e.

ZachXBT Menandai Lebih dari $520K Dugaan Eksploitasi Kontrak Polymarket UMA

ZachXBT menandai aktivitas mencurigakan yang melibatkan kontrak Adaptor UMA CTF Polymarket yang digunakan di Polygon. Laporan komunitas dan data on-chain menunjukkan bahwa lebih dari $520.000, terutama dalam token POL dan USDC.e, telah terkuras dari adaptor, dengan beberapa pelacak kemudian melaporkan total melebihi $600.000.

Aktivitas pengurasan melibatkan transfer berulang, termasuk sekitar 5.000 POL setiap 30 detik dari alamat kontrak yang terpengaruh, terutama 0x871D7… 082 dan 0xf61e3… 805. Dana yang dicuri kemudian dengan cepat disalurkan melalui rantai dompet perantara, kemungkinan akan mengaburkan jejak transaksi dan mempersulit upaya pelacakan.

Apa yang Menyebabkan Eksploitasi Adaptor Polymarket UMA

Insiden tersebut bukan hasil dari kerentanan atau bug dalam kode kontrak pintar Adaptor CTF UMA langsung. Sebaliknya, itu berasal dari kompromi kunci pribadi lama milik dompet operasi Polymarket internal.

Dompet ini memiliki hak administratif yang terkait dengan inisialisasi Adaptor CTF UMA di Polygon. Sebelumnya digunakan untuk operasi internal seperti distribusi hadiah, isi ulang likuiditas, atau tugas pemeliharaan terkait. Penyerang, alamat 0x8F980… B91, mengontrol kunci yang disusupi, masuk dan mengeksekusi transaksi sah yang menguras dana langsung dari alamat kontrak adaptor, dengan bagian yang sudah disetorkan ke layanan seperti ChangeNOW, platform pertukaran kripto non-kustodian.

Tim teknik Polymarket mengkonfirmasi insiden tersebut tak lama setelah peringatan ZachXBT. Tim juga menyatakan bahwa keseimbangan dan posisi pengguna pada platform inti Polymarket tetap tidak terpengaruh, karena peran adaptor terbatas pada fungsi terkait oracle.

Apa Dampaknya terhadap Polymarket dan Keamanan Pasar Prediksi?

Insiden tersebut telah memperbarui kekhawatiran atas keamanan infrastruktur di seluruh pasar prediksi terdesentralisasi, terutama protokol yang bergantung pada adaptor oracle dan integrasi lintas kontrak yang kompleks. Pakar keamanan memperkirakan pelanggaran tersebut akan mempercepat tuntutan untuk audit kontrak pintar yang lebih ketat, program bug bounty yang diperluas, kontrol dompet yang lebih kuat, dan pemantauan on-chain berkelanjutan untuk Polymarket dan platform serupa.

Terlepas dari eksploitasi, operasi resolusi pasar dan penyelesaian terus berlanjut tanpa gangguan karena kompromi ditautkan ke kunci pribadi administratif lama pada penyebaran Polygon daripada kerentanan dalam logika kontrak langsung atau infrastruktur perdagangan inti.

Namun, eksploitasi ini menggarisbawahi risiko yang lebih luas yang dihadapi sektor pasar prediksi, karena bahkan komponen infrastruktur non-kustodian seperti adaptor oracle dapat menjadi permukaan serangan kritis jika kunci istimewa dikelola dengan buruk, tidak diputar secara memadai, atau dibiarkan aktif setelah penggunaan operasional.

Akibatnya, insiden tersebut memperkuat kebutuhan akan standar keamanan operasional yang lebih kuat, termasuk otorisasi multi-tanda tangan, modul keamanan perangkat keras, perlindungan kunci waktu, rotasi kredensial reguler, dan audit keamanan berkelanjutan di seluruh sistem oracle DeFi.

Terkait: Polymarket Tolak Klaim Pelanggaran Data 300K