المؤلف:حماية ExVul،شركة أمن الويب 3
أولاً، ملخص الحدث
في 13 يناير 2026، أكدت Polycule رسميًا أنها تعرضت للاختراق من خلال روبوت التداول على تيليجرام، مما أدى إلى سرقة ما يقارب 230 ألف دولار من أموال المستخدمين. نشر الفريق تحديثات سريعة على X: تم إيقاف تشغيل الروبوت على الفور، وتم تطوير وإطلاق إصلاحات بسرعة، كما وُعد المستخدمون المتأثرون على منصة Polygon بأن يحصلوا على تعويض. سلسلة الإعلانات من الليلة الماضية حتى اليوم أثارت مناقشات واسعة حول سلامة روبوتات التداول على تيليجرام.
ثانياً: كيف تعمل Polycule
تتميز رؤية Polycule وضوحًا: تمكين المستخدمين من تصفح الأسواق وإدارة المراكز ونقل الأموال على Polymarket مباشرة من خلال تطبيق Telegram. تشمل الوحدات الأساسية ما يلي:
فتح الحساب واللوحة:سيقوم الأمر `/start` تلقائيًا بتعيين محفظة Polygon وعرض الرصيد، بينما يوفر الأمر `/home` والأمر `/help` نقاط دخول وتعليمات الاستخدام.
السوق والتجارةيمكن استخدام الأمر `/trending` أو الأمر `/search` أو لصق رابط Polymarket مباشرة لاسترداد تفاصيل السوق؛ يوفر البوت القدرة على وضع أوامر السوق أوامر الطلب والعرض، إلغاء الأوامر، وعرض الرسوم البيانية.
المحفظة والأموال:يدعم `/wallet` عرض الأصول وسحب الأموال وتبادل POL/USDC وإخراج المفتاح الخاص؛ ويوجه `/fund` عملية التمويل.
جسر الشبكات:التكامل العميقديبرج، مساعدة المستخدمين على جسر دخول الأصول من سولانا، مع خصم 2% من SOL تلقائيًا وتغييرها إلى POL لاستخدامها كرسوم غاز.
الميزات المتقدمة: افتح واجهة تداول المنسقين من خلال الأمر `/copytrade`، حيث يمكنك التداول بنسبة مئوية أو بقيمة ثابتة أو حسب قواعد مخصصة، كما يمكنك أيضًا تعيين إيقاف مؤقت أو تداول عكسي أو مشاركة الاستراتيجيات وغيرها من الميزات الإضافية.
يقوم روبوت تبادل Polycule بالمحادثة مع المستخدمين وتحليل الأوامر، كما أنه يدير المفاتيح في الخلفية ويوقع المعاملات ويستمع باستمرار إلى الأحداث على السلسلة.
بعد إدخال المستخدم الأمر `/start`، يقوم النظام في الخلفية بإنشاء محفظة Polygon تلقائيًا وتخزين مفتاحها السري، ومن ثم يمكن للمستخدم متابعة إرسال الأوامر مثل `/buy` و`/sell` و`/positions` وغيرها لإجراء عمليات مثل التحقق من الأسعار، تقديم الطلبات، وإدارة المراكز. كما يمكن للروبوت تحليل روابط موقع Polymarket وتقديم نقطة الدخول للصفقة مباشرة. أما بالنسبة للتحويلات عبر السلاسل، فتتم من خلال الاتصال بـديبرجيدعم نقل العملة SOL عبر الجسر إلى منصة بوليجون، مع سحب 2% تلقائيًا من العملة SOL وتحويلها إلى عملة POL لدفع رسوم المعاملات لاحقًا. تتضمن الميزات المتقدمة تجارة النسخ، والصفقات ذات السعر المحدد، ورصد المحفظة الهدف تلقائيًا، وغيرها، وهي تتطلب تشغيل خدمة الخادم على مدار الساعة وتوقيع المعاملات بالنيابة بشكل مستمر.
ثالثًا، المخاطر المشتركة لروبوتات تبادل تيليجرام
وراء التفاعل المحادثة المريحة، هناك عيوب أمنية صعبة التفاف حولها:
أولاً، يخزن معظم الروبوتات مفتاح المستخدم السري على خوادمه الخاصة، ويتم توقيع المعاملات مباشرةً من الخلفية. هذا يعني أنه بمجرد اختراق الخادم أو تسريب البيانات بسبب سوء إدارة التشغيل، يمكن للهاكرز تصدير مفاتيح السرية بشكل جماعي وسرقة أموال جميع المستخدمين دفعة واحدة. ثانيًا، يعتمد التحقق على حساب تيليجرام نفسه، إذا تعرض المستخدم للاختراق عبر سرقة بطاقة SIM أو فقدان جهازه، فيمكن للهاكرز التحكم في حساب الروبوت دون الحاجة إلى معرفة الجملة التذكارية. أخيرًا، لا توجد خطوة تأكيد عبر نافذة مخصصة محلية - حيث تتطلب المحفظة التقليدية تأكيد المستخدم يدويًا لكل معاملة، بينما في نموذج الروبوت، بمجرد وجود خطأ في منطق الخلفية، يمكن للنظام تحويل الأموال تلقائيًا دون علم المستخدم.
٤. نقاط الضعف الفريدة المُحْدَدة في وثائق Polycule
بناءً على محتوى الوثيقة، يمكن الاستنتاج أن هذا الحدث والمخاطر المحتملة في المستقبل تتركز بشكل رئيسي في النقاط التالية:
واجهة تصدير المفتاح الخاص:يسمح قائمة `/wallet` للمستخدمين بتصدير المفتاح الخاص، مما يشير إلى أن البيانات المخزنة في الخلفية هي بيانات مفتاح قابلة للعكس. بمجرد وجود حقن SQL أو واجهات غير مصرح بها أو تسرب في السجلات، يمكن للهاكرز استدعاء وظيفة التصدير مباشرة، وهذا السيناريو يتطابق تمامًا مع السرقة الحالية.
قد يؤدي تحليل URL إلى تشغيل SSRF:تشجع الروبوتات المستخدمين على إرسال روابط من Polymarket للحصول على معلومات السوق. إذا لم تكن المدخلات تخضع لفحص صارم، يمكن للهاكرز تزوير روابط تشير إلى البيانات الوصفية للشبكة الداخلية أو الخدمات السحابية، مما يدفع النظام الخلفي إلى "الوقوع في الفخ" بشكل إيجابي، وبالتالي سرقة المصادقات أو التكوينات.
منطق الاستماع في تجارة النسخ:يعني التداول بالنسخ أن الروبوت سيتبع عمليات المحفظة المستهدفة بشكل متزامن. إذا كان من الممكن تزوير الأحداث المُستَمع إليها، أو كانت النظام تفتقر إلى ترشيح أمني للعمليات المستهدفة، فقد يتم إدراج المستخدمين الذين يقومون بالنسخ تلقائيًا في عقود خبيثة، مما يؤدي إلى قفل أموالهم أو سحبها مباشرة.
العمل عبر السلاسل والتحويل التلقائي للعملات:يتعلق إجراء تحويل 2% من العملة SOL تلقائيًا إلى العملة POL بعوامل مثل سعر الصرف ونسبة التباعد السعري (الانزلاق) والمؤشرات (Oracle) والأذونات الخاصة بالتنفيذ. إذا لم تكن التحقق من هذه المعايير في الكود محكمًا، فقد يتمكن المهاجمون من تضخيم خسائر التحويل أو نقل ميزانية الغاز أثناء عملية الربط. علاوة على ذلك، فإن أي نقص في التحقق من تقارير deBridge سيؤدي إلى مخاطر حدوث شحنات وهمية أو تسجيلات مزدوجة.
خامساً: تذكير فريق المشروع والمستخدمين
ما يمكن للطاقم المشروع القيام بهيشمل ما يلي: تسليم تحليل تقني شفاف وشامل قبل استعادة الخدمة؛ إجراء مراجعة متخصصة لتخزين المفاتيح وعزل الصلاحيات والتحقق من المدخلات؛ إعادة تنظيم تحكم الوصول إلى الخوادم وتدفق نشر الكود؛ وإدخال آلية تأكيد مزدوج أو نظام حد أقصى لعمليات معينة لخفض الضرر المحتمل.
الطرف النهائي يجب أنيُنصح بالتحكم في حجم الأموال المُودعة في الروبوت، والسحب الفوري للربح، مع تفعيل التحقق من الهوية مرتين على تطبيق تليجرام (Telegram) وإدارة الأجهزة المستقلة وغيرها من وسائل الحماية أولًا. من الأفضل الانتظار وعدم إضافة رأس المال الإضافي قبل أن يُقدّم طرف المشروع تعهدًا واضحًا بالسلامة والأمان.
السادس: ملاحظات ختامية
تذكّر حادثة Polycule الجميع مرة أخرى بأن إجراءات الأمان يجب أن تتطور بشكل متزامن عندما تُختزل تجربة التداول إلى أمر محادثة واحد. ستظل روبوتات تيليجرام للتداول مدخلًا شائعًا لأسواق التنبؤات وعملات الميم في المدى القصير، ولكن هذا المجال سيظل أيضًا هدفًا مستمرًا للمهاجمين. نوصي بجعل بناء الأمان جزءًا لا يتجزأ من المنتج، مع مشاركة التطورات مع المستخدمين بشكل شفاف. كما يجب على المستخدمين أن يبقوا في حالة تأهب، ولا يُعتبروا مفاتيح المحادثة كخزينة آمنة للملكية.