Penulis: Frank, PANews
Transaksi on-chain kurang dari $0,1 dapat langsung menghapus pesanan pembuatan pasar senilai puluhan ribu dolar dari buku pesanan Polymarket. Ini bukan deduksi teoretis, tetapi realitas yang sedang terjadi.
Pada Februari 2026, seorang pemain mengungkapkan metode serangan baru terhadap pembuat pasar Polymarket di media sosial. Blogger BuBBliK menggambarkannya sebagai “elegan & brutal” karena penyerang hanya perlu membayar kurang dari $ 0,1 dalam biaya gas di jaringan Polygon untuk menyelesaikan putaran serangan dalam waktu sekitar 50 detik, sementara korban, pembuat pasar dan bot perdagangan otomatis yang menempatkan money order nyata di buku pesanan, menghadapi beberapa pukulan penghapusan pesanan paksa, eksposur posisi pasif, dan bahkan kerugian langsung.
PANews meninjau alamat penyerang yang ditandai oleh komunitas dan menemukan bahwa akun tersebut terdaftar pada Februari 2026 dan berpartisipasi dalam perdagangan hanya di 7 pasar, tetapi telah mencatat total keuntungan sebesar $16.427, dan laba inti pada dasarnya selesai dalam satu hari. Ketika pemimpin pasar prediksi dengan valuasi $9 miliar dapat dimanfaatkan dengan beberapa sen dengan biaya, ada lebih dari sekadar celah teknis di baliknya.
PANews akan mempelajari mekanisme teknis, logika ekonomi dari serangan ini, dan potensi dampaknya terhadap industri pasar prediksi.
Bagaimana serangan terjadi: Perburuan yang tepat yang memanfaatkan “perbedaan waktu”
Untuk memahami serangan ini, perlu terlebih dahulu memahami proses perdagangan Polymarket. Tidak seperti kebanyakan DEX, Polymarket mengadopsi arsitektur hibrida “pencocokan off-chain + penyelesaian on-chain” untuk mengejar pengalaman pengguna yang dekat dengan bursa terpusat. Desain ini memungkinkan pengguna untuk menikmati pengalaman halus dari pesanan tertunda nol-gas dan transaksi tingkat kedua, tetapi juga menciptakan “perbedaan waktu” antara off-chain dan on-chain, mulai dari beberapa detik hingga sepuluh detik, dan penyerang menargetkan jendela ini.
Logika serangannya tidak rumit. Penyerang pertama-tama menempatkan pesanan beli atau jual secara normal melalui API, dan sistem off-chain memverifikasi bahwa tanda tangan dan saldo baik-baik saja, sehingga mencocokkannya dengan pesanan tertunda pembuat pasar lain di buku pesanan. Tetapi pada saat yang hampir bersamaan, penyerang memulai transfer USDC dengan biaya gas yang sangat tinggi pada rantai, mentransfer semua uang di dompet. Karena biaya gas jauh lebih tinggi daripada pengaturan default repeater platform, transaksi “terkuras” ini akan dikonfirmasi oleh jaringan terlebih dahulu. Pada saat repeater mengirimkan hasil pencocokan ke rantai, dompet penyerang kosong, dan transaksi gagal diputar kembali karena saldo yang tidak mencukupi.
Jika ceritanya berakhir di sini, itu hanya membuang-buang sedikit biaya bensin untuk repeater. Tetapi langkah fatal yang sebenarnya adalah bahwa meskipun transaksi gagal on-chain, sistem off-chain Polymarket secara paksa menghapus semua pesanan pembuat pasar yang tidak bersalah dari buku pesanan yang berpartisipasi dalam pertandingan yang gagal ini. Dengan kata lain, penyerang menggunakan transaksi yang ditakdirkan untuk “mengosongkan” pesanan yang telah dihabiskan orang lain dengan uang sungguhan.
Untuk menggunakan analogi: ini seperti berteriak di pelelangan, menunggu palu jatuh dan memalingkan wajah Anda dan berkata “Saya tidak punya uang”, tetapi rumah lelang menyita semua plat nomor penawar normal lainnya, mengakibatkan pelelangan hilang.
Perlu dicatat bahwa komunitas kemudian menemukan “versi yang ditingkatkan” dari serangan tersebut, bernama “Ghost Fills”. Penyerang tidak perlu lagi terburu-buru transfer, tetapi langsung memanggil fungsi “satu klik batalkan semua pesanan” pada kontrak setelah pesanan dicocokkan secara off-chain dan sebelum penyelesaian on-chain, sehingga pesanan mereka dapat langsung dibatalkan untuk mencapai efek yang sama. Yang lebih licik adalah penyerang dapat menempatkan pesanan di beberapa pasar secara bersamaan, mengamati tren harga, dan hanya menjaga pesanan yang menguntungkan untuk dieksekusi secara normal, dan membatalkan pesanan yang tidak menguntungkan dengan cara ini, pada dasarnya menciptakan opsi bebas “menang dan tidak kalah”.
Serangan terhadap “ekonomi”: beberapa sen dengan biaya, keuntungan $16.000
Selain secara langsung membersihkan pesanan pembuat pasar, status off-chain dan on-chain ini juga digunakan untuk berburu bot perdagangan otomatis. Menurut pemantauan oleh tim keamanan GoPlus, bot yang terkena dampak antara lain Negrisk, ClawdBots, MoltBot, dan lainnya.
Penyerang menghapus pesanan orang lain dan membuat “kesepakatan hantu”, yang tidak secara langsung menghasilkan keuntungan dalam diri mereka sendiri, jadi bagaimana mereka menghasilkan uang?
PANews menemukan bahwa ada dua jalur keuntungan utama bagi penyerang.
Yang pertama adalah “pembuatan pasar monopoli setelah izin”. Dalam keadaan normal, akan ada beberapa pembuat pasar yang bersaing untuk pesanan tertunda di buku pesanan pasar prediksi populer, dan spread antara beli satu dan jual satu biasanya sangat sempit, seperti pesanan beli pada 49 sen, pesanan jual pada 51 sen, dan pembuat pasar menghasilkan keuntungan kecil pada selisih harga 2 sen. Penyerang berulang kali memulai “transaksi yang ditakdirkan” untuk memaksa penghapusan semua pesanan tertunda pesaing ini. Pada titik ini, pasar menjadi hampa, dan penyerang segera memesan rekeningnya, tetapi spreadnya sangat melebar, seperti order beli pada 40 sen dan order jual pada 60 sen. Pengguna lain yang perlu berdagang harus menerima harga ini tanpa kutipan yang lebih baik, dan penyerang mendapat untung dengan mengandalkan “spread monopoli” 20 sen. Model ini bersifat siklus: izin, monopoli, keuntungan, dan izin ulang.
Jalur keuntungan kedua lebih langsung, yaitu “berburu robot lindung nilai”. Untuk mengilustrasikan dengan contoh spesifik: Misalkan harga “Ya” di pasar tertentu adalah 50 sen, penyerang menempatkan pesanan “Ya” seharga $10.000 ke bot pembuat pasar melalui API. Setelah sistem off-chain mengonfirmasi bahwa pencocokan berhasil, API segera memberi tahu bot “Anda telah menjual 20.000 saham Ya”. Setelah menerima sinyal, untuk melindungi risiko, robot segera membeli 20.000 saham “Tidak” di pasar terkait lainnya untuk mengunci keuntungan. Tapi kemudian, penyerang memutar kembali pesanan beli $10.000 pada rantai, yang berarti bahwa bot tidak benar-benar menjual “Ya” sama sekali, dan posisi lindung nilai yang dipikirkannya sebagai taruhan satu sisi sekarang menjadi taruhan satu sisi kosong, dengan hanya 20.000 saham “Tidak” di tangan tetapi tidak ada posisi short yang sesuai untuk dilindungi. Pada titik ini, penyerang berdagang di pasar secara nyata, mengambil keuntungan dari bot yang dipaksa untuk menjual posisi yang tidak terlindungi ini untuk mendapatkan keuntungan, atau arbitrase langsung dari offset harga pasar.
Dari sisi biaya, setiap loop serangan hanya membayar kurang dari $0,1 dalam biaya gas di jaringan Polygon, dan setiap loop membutuhkan waktu sekitar 50 detik, yang secara teoritis dapat dieksekusi sekitar 72 kali per jam. Penyerang menyiapkan “sistem sirkulasi dompet ganda” (bergantian antara Hub Siklus A dan Hub Siklus B) untuk mencapai serangan frekuensi tinggi yang sepenuhnya otomatis. Ratusan transaksi yang gagal telah dicatat di rantai.
Dari perspektif pendapatan, alamat penyerang yang ditandai oleh komunitas yang dikonsultasikan oleh PANews menunjukkan bahwa akun tersebut baru terdaftar pada Februari 2026 dan hanya berpartisipasi di 7 pasar, tetapi telah mencapai total laba $16.427, dengan laba tunggal maksimum $4.415, dan aktivitas laba inti terkonsentrasi dalam jendela waktu yang sangat singkat. Dengan kata lain, penyerang memanfaatkan keuntungan lebih dari $16.000 dalam satu hari dengan biaya gas, yang mungkin berjumlah kurang dari $10. Dan ini hanya alamat yang ditandai, dan alamat yang benar-benar terlibat dalam serangan dan jumlah total keuntungan mungkin jauh lebih dari itu.
Bagi pembuat pasar yang menjadi korban, kerugian bahkan lebih sulit untuk diukur. Pedagang di komunitas Reddit yang menjalankan bot pasar BTC 5 menit melaporkan kerugian “ribuan dolar”. Kerusakan yang lebih dalam terletak pada biaya peluang yang disebabkan oleh seringnya perintah penghapusan paksa dan overhead operasi strategi pembuatan pasar yang dipaksa untuk disesuaikan.
Masalah yang lebih sulit adalah bahwa kerentanan ini adalah masalah dengan desain mekanisme yang mendasari Polymarkert dan tidak dapat diperbaiki dalam waktu singkat, dan karena metode serangan ini dipublikasikan, metode serangan serupa akan menjadi lebih umum, yang selanjutnya akan merusak likuiditas Polymarket yang sudah rapuh.
Bantuan mandiri komunitas, peringatan dini, dan keheningan platform
Sampai sekarang, Polymarket belum secara resmi merilis pernyataan terperinci atau rencana perbaikan untuk serangan pesanan ini, dan beberapa pengguna mengatakan di media sosial bahwa bug ini telah dilaporkan berkali-kali beberapa bulan yang lalu, tetapi tidak ada yang memperhatikannya. Perlu disebutkan bahwa Polymarket juga memilih untuk menolak pengembalian dana dalam menghadapi insiden “serangan tata kelola” (manipulasi suara Oracle UMA).
Dalam kasus kelambanan resmi, masyarakat mulai mencari tahu apa yang harus dilakukan sendiri. Seorang pengembang komunitas secara spontan membuat alat pemantauan sumber terbuka yang disebut “Nonce Guard” yang memantau pembatalan pesanan pada rantai Polygon secara real time, membangun daftar hitam alamat penyerang, dan memberikan sinyal peringatan umum untuk bot perdagangan. Namun, solusi ini pada dasarnya adalah tambalan untuk pengawasan yang ditingkatkan dan tidak secara fundamental menyelesaikan masalah tersebut.
Dampak potensial dari metode serangan ini mungkin lebih luas daripada metode arbitrase lainnya.
Bagi pembuat pasar, pesanan tertunda yang dipertahankan dengan susah payah dapat diselesaikan secara bertahap tanpa peringatan, dan stabilitas serta prediktabilitas strategi pembuatan pasar hilang, yang dapat secara langsung mengguncang kesediaan mereka untuk terus menyediakan likuiditas di Polymarket.
Untuk pengguna yang menjalankan bot perdagangan otomatis, sinyal transaksi yang dikembalikan oleh API tidak lagi dapat dipercaya, dan pengguna biasa mungkin menderita kerugian yang signifikan karena likuiditas seketika selama perdagangan.
Untuk platform Polymarket itu sendiri, ketika pembuat pasar tidak berani melakukan pemesanan dan robot tidak berani melakukan lindung nilai, kedalaman buku pesanan pasti akan menyusut, dan siklus penurunan ini akan semakin intensif.
