লেখক:ExVul সিকিউরিটিওয়েব 3 সুরক্ষা কোম্পা�
১. ঘটনা সংক্ষিপ্ত বিবরণ
13 জানুয়ারি, 2026 তারিখে পলিকুল (Polycule) সতর্ক করে দেয় যে তাদের টেলিগ্রাম ট্রেডিং বট হ্যাক হয়েছে এবং প্রায় 230,000 ডলারের ব্যবহারকারী অর্থ চুরি হয়েছে। দলটি তাদের X এ দ্রুত আপডেট করেছে: বটটি তৎক্ষণাৎ অফলাইন করা হয়েছে, প্যাচ দ্রুত প্রস্তুত করা হচ্ছে এবং পলিগনের প্রভাবিত ব্যবহারকারীদের পুনর্প্রদানের প্রতিশ্রুতি দেওয়া হয়েছে। গতকাল থেকে আজ পর্যন্ত কয়েকটি ঘোষণার ফলে টেলিগ্রাম ট্রেডিং বট সম্পর্কিত নিরাপত্তা আলোচনা বাড়িয়েছে।
২. পলিকুল কীভাবে কাজ করে
পলিকুল স্পষ্টভাবে সংজ্ঞায়িত করা হয়েছে: ব্যবহারকারীদের টেলিগ্রামে পলিমার্কেটে বাজার পর্যবেক্ষণ, অবস্থান ব্যবস্থাপনা এবং অর্থ পরিচালনা করতে দেয়। প্রধান �
অ্যাকাউন্ট এবং প্যা�`/start` আপনার জন্য স্বয়ংক্রিয়ভাবে পলিগন ওয়ালেট বরাদ্দ করবে এবং ব্যালেন্স দেখাবে, `/home` এবং `/help` এন্ট্রি এবং নির্দেশিকা প্রদান করে।
মূল্য ও বিনিময`/trending` এবং `/search` এর মাধ্যমে এবং পলিমার্কেটের URL সরাসরি কপি-পেস্ট করে মার্কেট বিস্তারিত পেতে পারেন; বট মার্কেট/লিমিট অর্ডার, অর্ডার বাতিল এবং চার্ট দেখার সুযোগ দেয়।
ওয়ালেট এবং অর্থ স`/wallet` সম্পত্তি দেখা, অর্থ উত্তোলন, POL/USDC বিনিময়, ব্যক্তিগত কী রপ্তানি সমর্থন করে; `/fund` জমা দেওয়ার প্রক্রিয়া নির্দেশ করে।
চেইন ক্রসিং ব্রিজ:গভীর সংহডিব্রিজ (deBridgeএটি ব্যবহারকারীদের সোলানা থেকে সম্পত্তি সেতু হিসাবে সহায়তা করে এবং ডিফল্টভাবে 2% সল কেটে গ্যাসের জন্য পলে রূপান্তর করে।
উন্নত বৈশিষ্ট্� `/copytrade` কমান্ডটি দ্বারা আপনি কপি ট্রেডিং ইন্টারফেস খুলতে পারেন। আপনি শতাংশ, নির্দিষ্ট পরিমাণ বা নিজের নিয়মে অর্ডার কপি করতে পারেন। এছাড়াও আপনি স্থগিত করা, বিপরীত অর্ডার কপি করা, স্ট্র্যাটেজি শেয়
পলিকুল ট্রেডিং বট ব্যবহারকারীদের সাথে আলাপ করে, নির্দেশাবলী বিশ্লেষণ করে এবং পশ্চাদপটে কীগুলি পরিচালনা করে, স্বাক্ষরিত লেনদেন এবং চেইনে ঘটনাগুলি নি
যখন ব্যবহারকারী /start ইনপুট করেন, তখন ব্যবহারকারী পলিগন ওয়ালেট স্বয়ংক্রিয়ভাবে তৈরি হয় এবং ব্যক্তিগত কী সংরক্ষণ করা হয়। তারপরে, ব্যবহারকারী /buy, /sell, /positions ইত্যাদি কমান্ড পাঠাতে পারেন যার মাধ্যমে তারা মার্কেট পর্যবেক্ষণ, অর্ডার দেওয়া এবং অবস্থান পরিচালনা করতে পারেন। রোবটটি পলিমার্কেটের ওয়েব লিঙ্কগুলি ব্যাখ্যা করতে পারে এবং সরাসরি লেনদেনের প্রবেশদ্বার প্রডিব্রিজ (deBridgeএটি সমর্থন করে যেন SOL কে পলিগনে ব্রিজ করা যায় এবং ডিফল্টভাবে পরবর্তী লেনদেনের জন্য গ্যাস প্রদানের জন্য 2% SOL কে POL-এ রূপান্তর করা হয়। আরও উন্নত ফাংশনগুলি অন্তর্ভুক্ত করে কপি ট্রেডিং, লিমিট অর্ডার এবং স্বয়ংক্রিয় লক্ষ্য উইলেট পর্যবেক্ষণ যা সেবা প্রদানকারী দ্বারা দীর্ঘ সময় অ
৩. টেলিগ্রাম ট্রেডিং রোবোটের সাধারণ ঝুঁকি
সুবিধাজনক চ্যাট বা আলাপ বা আলোচনা বা আন্তঃক্রিয়ার পিছনে কয়েকটি �
প্রথমত, প্রায় সব রোবট ব্যবহারকারীদের ব্যক্তিগত কীগুলো নিজেদের সার্ভারে রাখে এবং পেছনের প্রক্রিয়াকরণের মাধ্যমে সরাসরি লেনদেন স্বাক্ষর করে। এর মানে হলো, যদি সার্ভারটি আক্রমণ করা হয় বা অপারেশন কর্মীদের দ্বারা তথ্য না পাওয়া যায়, তাহলে আক্রমণকারীরা ব্যক্তিগত কীগুলো ব্যাপক পরিমাণে নিয়ে যেতে পারে এবং সব ব্যবহারকারীদের অর্থ একসাথে নিয়ে যেতে পারে। দ্বিতীয়ত, যাচাইয়ের প্রক্রিয়া টেলিগ্রাম অ্যাকাউন্টের উপর নির্ভর করে। যদি ব্যবহারকারী এসএম কার্ড হ্যাক হয়ে যায় বা তাদের ডিভাইস হারিয়ে যায়, তাহলে আক্রমণকারীদের মন্ত্র শব্দগুলো জানা ছাড়াই রোবট অ্যাকাউন্ট নিয়ন্ত্রণ করা যেতে পারে। শেষ পর্যন্ত, স্থানীয় পপ-আপ নিশ্চিতকরণ প
৪. পলিকুল ডকুমেন্টেশন থেকে প্রকাশিত বৈশিষ্ট্যগুলির সুযোগ
নথির বিষয়বস্তু বিবেচনা করে, আমরা অনুমান করতে পারি যে এই ঘটনা এবং ভবিষ্যতের সম্ভা�
ব্যক্তিগত কী রপ্তানির ইন্টারফ`/wallet` মেনু ব্যবহারকারীদের ব্যক্তিগত কী রপ্তানি করতে দেয়, যা পশ্চাদ্দিকে উল্টানো যায় এমন কী ডেটা সংরক্ষন করে তা নির্দেশ করে। যখন কোনও SQL ইনজেকশন, অননুমোদিত ইন্টারফেস বা লগ লিক থাকে, তখন আক্রমণকারী রপ্তানি করার কাজটি সরাসরি কল করতে পারে, যা এই ডকাইতির সাথে খুব মেলে।
ইউআরএল বিশ্লেষণ সম্ভাব্য SSRF ট্রিগার করতে �বট ব্যবহারকারীদের পলিমার্কেটের লিঙ্ক প্রেরণ করতে উত্সাহিত করে। যদি ইনপুট সঠিকভাবে পরীক্ষা না করা হয়, তবে আক্রমণকারীরা অভ্যন্তরীণ বা মেটাডেটা সার্ভিসের লিঙ্ক তৈরি করতে পারে, যার ফলে ব্যাকএন্ড স্বয়ংক্রিয়ভাবে "পিটফল" ঘটাতে পারে এবং প্রমাণ �
কপি ট্রেডিংয়ের শ্রবণ যুক্তিকপি ট্রেডিং মানে হলো রোবট লক্ষ্য করা উইলেটের সাথে সমন্বয়ে অপারেশন করবে। যদি শ্রবণযোগ্য ঘটনাগুলো নকল করা যায় বা সিস্টেম লক্ষ্য করা ট্রেডের জন্য নিরাপত্তা ফিল্টার সরানো হয়, তাহলে অনুসরণকারী ব্যবহারকারীদের কোনো মালিকানাধীন কন্ট্রা�
চেইন ক্রসিং এবং স্বয়ংক্রিয় মুদ্রা2% SOL কে স্বয়ংক্রিয়ভাবে POL-এ রূপান্তরের প্রক্রিয়াটি বিনিময় হার, স্লিপেজ, অরাকল এবং নির্বাহের অনুমতি নিয়ে কাজ করে। যদি এই প্যারামিটারগুলির সতর্কতার সাথে যাচাই করা না হয়, তবে হ্যাকাররা ব্রিজিংয়ের সময় রূপান্তরের ক্ষতি বা গ্যাস বাজেট স্থানান্তর বৃদ্ধি করতে পারে। আরও বেশি, যদি deBridge রিসিভ রিপোর্টের যাচাইয়ে কোনও অসম্পূর্ণতা থাকে, তবে এটি মিথ্যা পুনরায় পূরণ বা ডুপ্লিকেট এন্ট
৫. প্রকল্প দল এবং ব্যবহারকারীদের জন্য
প্রকল্প দল যা করতে পঅন্তর্ভুক্ত: সেবা পুনরুদ্ধারের আগে একটি সম্পূর্ণ এবং স্পষ্ট প্রযুক্তিগত পুনরায় পর্যালোচনা প্রদান করুন; কী সংরক্ষণ, অনুমতি আইসোলেশন এবং ইনপুট যাচাইয়ের বিশেষ নিরাপত্তা পর্যালোচনা; সার্ভার অ্যাক্সেস নিয়ন্ত্রণ এবং কোড মুক্তি প্রক্রিয়া পুনরায
সমাপনী ব্যবহারকারীবটে অর্থ পরিচালনা করুন, লাভ সময়মত উত্তোলন করুন, টেলিগ্রামে দ্বিতীয় যাচাইকরণ এবং স্বাধীন ডিভাইস ম্যানেজমেন্ট সহ সুরক্ষা পদক্ষেপগুলি প্রথমে সক্ষম করুন। প্রকল্পটি স্পষ্ট নিরাপত্তা প্রতিশ্রুতি দেয়া পর্যন্ত, আপনি অপেক্ষ
ষষ্ঠ অধ্যায়: পরিশে
পলিকুলের ঘটনা আবারও জানিয়ে দিয়েছে যে, যখন লেনদেনের অভিজ্ঞতা একটি চ্যাট কমান্ডে সংকুচিত হয়ে যায়, তখন নিরাপত্তা পদক্ষেপগুলো সমান্তরালভাবে আরও উন্নত করা প্রয়োজন। টেলিগ্রাম লেনদেন রোবটগুলো অস্থায়ীভাবে প্রেক্ষিত বাজার এবং মেম মুদ্রার জন্য জনপ্রিয় প্রবেশদ্বার থাকবে, কিন্তু এই ক্ষেত্রটি আক্রমণকারীদের শিকারের স্থান হিসেবে থাকবে। আমরা প্রকল্প প্রদানকারীদের নিরাপত্তা নির্মাণকে পণ্যের অংশ হিসেবে গ্রহণ করার পরামর্শ দিচ্ছি এবং সমান্তরালভাবে ব্যবহারকারী