Polymarket Membantah Klaim Peretas, Data Tetap Bersifat Publik

Polymarket, platform pasar prediksi, telah menanggapi lonjakan laporan yang menuduh adanya pelanggaran data setelah sebuah postingan di web gelap mengklaim mengungkap rincian pengguna pribadi. Seorang peretas yang menggunakan nama “xorcat” dan akun keamanan siber yang beredar di X mengaku telah mencuri lebih dari 300.000 catatan, termasuk 10.000 profil lengkap dengan nama, gambar profil, dompet proxy, dan alamat dasar. Polymarket menggambarkan tuduhan tersebut sebagai “omong kosong total,” berargumen bahwa informasi yang disebutkan sudah tersedia secara publik.

Kontroversi muncul saat komunitas keamanan kripto dan pasar on-chain memantau gelombang peretasan dan eksposur data bulan lalu. Peretas dan konfigurasi yang salah telah berkontribusi pada serangkaian insiden, dengan Hacken melaporkan bahwa proyek Web3 kehilangan sekitar $482 juta dalam peretasan dan penipuan selama kuartal pertama 2026. Latar belakang ini meningkatkan pengawasan terhadap seberapa banyak data yang terekspos oleh sistem yang dapat diakses melalui on-chain dan API serta apa yang dianggap sebagai pelanggaran versus data publik yang dapat diaudit.

Sikap Polymarket diperkuat oleh bantahan langsung di X, di mana tim menyatakan klaim pelanggaran data adalah “omong kosong total” dan mencatat bahwa data yang diduga dicuri adalah informasi yang sudah dapat diakses secara online. Dalam postingan lain, Polymarket menekankan sifat data mereka yang on-chain dan dapat diaudit secara publik: “Sebagian dari keindahan berada di on chain adalah semua data kami dapat diaudit secara publik, ini adalah fitur, bukan bug. Tidak ada data yang bocor, data tersebut dapat diakses melalui endpoint publik dan data on-chain. Alih-alih membayar untuk data, Anda dapat mengaksesnya secara gratis melalui API kami.”

Klaim peretas berfokus pada pelanggaran melalui endpoint API yang diduga dikompromikan dan data on-chain, dengan pernyataan bahwa endpoint API yang tidak terdokumentasi, bypass pagination, dan konfigurasi CORS yang salah pada API Gamma dan CLOB Polymarket telah dieksploitasi. Pelaku juga mengisyaratkan rencana untuk merilis lebih banyak data dari pasar prediksi lain dalam beberapa hari mendatang.

Beberapa peneliti keamanan menyatakan skeptisisme terhadap cerita pelanggaran tersebut. Vladimir S., seorang peneliti ancaman dan kepala keamanan di Legalblock, memperingatkan bahwa bukti menunjukkan data diparse bukan bocor dalam pelanggaran nyata, menggambarkan skenario tersebut sebagai tidak mungkin mencerminkan kompromi basis data yang sebenarnya.

Poin utama

Insiden ini berpusat pada klaim pencurian data dari Polymarket, yang ditolak oleh operator sebagai tidak benar, menegaskan bahwa data yang dilaporkan sudah dapat diakses secara publik dan sudah dipublikasikan.

Polymarket menegaskan bahwa data mereka tetap berada di on-chain dan dapat diaudit secara publik, menekankan bahwa pengembang dan pengguna dapat mengakses informasi secara gratis melalui API publik.

Platform menanggapi narasi bahwa tidak ada program bug bounty, dengan menyebutkan program langsung yang dimulai pada 16 April dan sejak itu menerima ratusan laporan—meningkatkan pertanyaan tentang waktu dan cakupan eksposur data yang diduga.

Konteks industri penting: Peretas dan konfigurasi yang salah berkontribusi pada gelombang besar insiden keamanan kripto di kuartal pertama 2026, menegaskan kerentanan sektor terhadap kebocoran data dan kekurangan kontrol akses.

Skeptikus berargumen klaim tersebut bisa mencerminkan parsing data atau salah tafsir daripada pelanggaran nyata, menyoroti ketegangan antara transparansi on-chain dan eksposur data pengguna yang sensitif.

Respons Polymarket dan debat akses data

Di pusat sengketa adalah pernyataan Polymarket bahwa tidak ada pelanggaran data dan bahwa informasi yang dikutip oleh peretas sudah bersifat publik. Dalam postingan yang diamati di X, platform berargumen bahwa endpoint API yang dapat diakses publik dan keberadaan data on-chain berarti pengguna dan pengembang dapat mengambil data yang sama tanpa adanya intrusi. Posisi perusahaan sejalan dengan debat yang lebih luas di dunia kripto: ketika aktivitas on-chain secara inheren bersifat publik dan dapat diaudit, kapan eksposur tersebut menjadi pelanggaran daripada karakteristik desain arsitektur?

Bursa juga menunjuk ke strategi API mereka, menyarankan bahwa data yang diklaim dicuri dapat diakses siapa saja melalui API mereka daripada mewakili kompromi keamanan. Kerangka ini mendapatkan reaksi beragam dari komunitas keamanan, dengan beberapa ahli mengakui sifat publik dari data tertentu sementara yang lain memperingatkan bahwa mengekspos metadata pengguna yang sensitif—terutama jika digabungkan dengan alamat dompet dan pengenal profil—dapat menimbulkan kekhawatiran privasi meskipun secara teknis bersifat publik.

Selain spesifik tentang Polymarket, episode ini menyentuh masalah yang sudah berlangsung lama dalam infrastruktur kripto: bagaimana menyeimbangkan keterbukaan dan auditabilitas dengan perlindungan privasi pengguna. Data on-chain dan akses berbasis API dapat memungkinkan verifikasi cepat dan transparansi, tetapi juga dapat memperluas permukaan data untuk pengumpulan dan penyalahgunaan jika tidak dikendalikan atau dianonimkan dengan benar. Diskusi yang sedang berlangsung ini menegaskan mengapa platform harus secara jelas membedakan data apa yang terlihat secara publik dan apa yang dianggap sensitif atau terbatas.

Program bug bounty dan postur keamanan

Sebuah poin kontra utama terhadap narasi “tidak ada bug bounty” adalah pernyataan Polymarket tentang program bug bounty mereka. Platform menunjukkan inisiatif langsung yang dimulai pada 16 April dan sejak itu mengumpulkan ratusan laporan—446, hingga pembaruan terbaru. Pola ini menunjukkan upaya aktif untuk mengidentifikasi dan memperbaiki kerentanan, bahkan saat episode ini berlangsung di mata publik. Keberadaan program bug bounty formal bisa menjadi sinyal kematangan keamanan yang berkelanjutan, tetapi juga mengundang perhatian tentang cakupan pelaporan bug dan respons terhadap perbaikan dalam lingkungan ancaman yang cepat berkembang.

Pengamat industri akan memantau apakah kerentanan baru atau konfigurasi yang salah terus muncul di lapisan API Polymarket atau jika episode saat ini terbatas pada salah tafsir data yang tersedia secara publik. Interaksi antara aktivitas bug bounty, timeline pengungkapan, dan respons insiden akan memberikan gambaran tentang seberapa cepat platform dapat memulihkan kepercayaan jika ada masalah nyata yang muncul.

Latar belakang industri: insiden keamanan dan transparansi on-chain

Lanskap keamanan kripto yang lebih luas menambah konteks pada episode Polymarket. Peretas dan konfigurasi yang salah telah mendorong keamanan Web3 ke garis depan, dengan laporan kuartal pertama 2026 menunjukkan kerugian besar dari berbagai insiden. Meskipun total kerugian dan jumlah insiden bervariasi menurut sumber, tren menunjukkan bahwa bahkan pasar dan platform prediksi yang mapan tetap menjadi target menarik bagi penyerang yang mencari keunggulan data atau finansial.

Analis mencatat bahwa sifat publik data on-chain bisa menjadi pedang bermata dua: memungkinkan verifikasi dan akuntabilitas yang cepat tetapi juga dapat memperumit pertimbangan privasi jika informasi identifikasi pengguna menjadi terkait dengan data transaksi yang transparan. Dalam lingkungan ini, platform yang mendukung keterbukaan harus juga memastikan kontrol akses yang kokoh, minimisasi data yang hati-hati, dan kebijakan privasi yang jelas untuk menavigasi harapan regulasi dan pasar yang terus berkembang.

Seiring berkembangnya narasi tentang Polymarket, pengamat akan ingin melihat bagaimana platform merespons pengawasan yang berkelanjutan, apakah mereka mempublikasikan detail teknis lebih lanjut tentang konfigurasi API dan kontrol keamanan mereka, serta bagaimana mereka mengkomunikasikan temuan dari pengungkapan bug bounty di masa depan. Laporan dari peneliti keamanan, operator bursa, dan peneliti independen akan terus membentuk persepsi pasar tentang keandalan data di platform prediksi populer.

Dalam laporan minggu ini, Cointelegraph mengutip penilaian Hacken tentang lanskap keamanan periode tersebut, menegaskan bahwa kuartal pertama 2026 menyaksikan volume eksploitasi yang signifikan di seluruh ruang Web3. Kombinasi akses data publik dan narasi peretasan berprofil tinggi menunjukkan mengapa investor dan pengembang semakin memperhatikan bagaimana platform menangani eksposur data, keamanan API, dan respons insiden secara real-time.