Autor:ExVul SeguridadCompañía de seguridad Web3
I. Resumen del evento
El 13 de enero de 2026, Polycule confirmó oficialmente que su robot de intercambio de Telegram había sufrido un ataque cibernético, en el cual se habrían robado unos 230.000 dólares en fondos de usuarios. El equipo actualizó rápidamente en X: el robot fue inmediatamente desactivado, se avanzó rápidamente con parches de reparación y se comprometió a compensar a los usuarios afectados en Polygon. Las varias rondas de anuncios desde anoche hasta hoy han mantenido en ascenso la discusión sobre la seguridad en la categoría de robots de intercambio de Telegram.
II. Cómo funciona una polycule
La posición de Polycule es clara: permitir a los usuarios navegar por los mercados, gestionar posiciones y gestionar fondos en Polymarket directamente desde Telegram. Los módulos principales incluyen:
Apertura de cuenta y panel:`/start` asignará automáticamente una billetera Polygon y mostrará el saldo. `/home` y `/help` proporcionan acceso y explicaciones de comandos.
Mercado y trading`: /trending`, `/search`, o pegar directamente una URL de Polymarket, permiten obtener detalles sobre el mercado; el bot ofrece órdenes al mejor precio/limitadas, cancelación de órdenes y visualización de gráficos.
Monedero y fondos:`/wallet` permite ver los activos, retirar fondos, intercambiar POL/USDC, exportar la clave privada; `/fund` guía el proceso de recarga.
Puente de cadenas cruzadas:Integración profundadeBridgeAyuda a los usuarios a ingresar activos desde Solana, y por defecto se deduce el 2% de SOL que se intercambia a POL para cubrir los costos de gas.
Funciones avanzadas: `/copytrade` abre la interfaz de comercio de copia, donde puedes seguir órdenes según porcentajes, montos fijos o reglas personalizadas. También permite configurar funciones adicionales como pausar, operar en sentido contrario, compartir estrategias, entre otras.
El bot de intercambio Polycule se encarga de interactuar con los usuarios, analizar instrucciones, gestionar claves en segundo plano, firmar transacciones y escuchar continuamente eventos en la cadena.
Después de que el usuario ingrese `/start`, se generará automáticamente una billetera Polygon en segundo plano y se guardará la clave privada. Luego, el usuario podrá continuar enviando comandos como `/buy`, `/sell` y `/positions` para realizar operaciones como consultar precios, realizar pedidos y gestionar posiciones. El bot también puede analizar enlaces de la web de Polymarket y devolver directamente al punto de entrada para realizar transacciones. Los fondos multivaledores se gestionan mediante la integración condeBridgeAdemás, se admite el puente de SOL a Polygon, y por defecto se retira el 2% de SOL para convertirlo en POL y utilizarlo posteriormente para pagar el gas de las transacciones. Funciones más avanzadas incluyen comercio por copia (Copy Trading), órdenes limitadas, monitoreo automático de direcciones objetivo, etc., lo cual requiere que el servidor permanezca en línea durante mucho tiempo y firme transacciones de forma continua.
III. Riesgos comunes de los robots de trading de Telegram
Detrás de la conveniente interacción conversacional hay varias debilidades de seguridad difíciles de evitar:
En primer lugar, casi todos los bots colocan las claves privadas de los usuarios en sus propios servidores, y las transacciones son firmadas directamente desde el backend. Esto significa que, en cuanto los servidores sean comprometidos o los datos se filtren debido a errores en la gestión, los atacantes podrían exportar en masa las claves privadas y robar todos los fondos de los usuarios de un solo golpe. En segundo lugar, la autenticación depende del propio cuenta de Telegram. Si el usuario sufre un robo de tarjeta SIM o pierde su dispositivo, los atacantes podrían tomar el control de la cuenta del bot sin necesidad de conocer la frase mnemotécnica. Finalmente, no existe una confirmación local mediante una ventana emergente, como ocurre con las billeteras tradicionales, donde cada transacción requiere la confirmación personal del usuario. En el modelo de bots, si hay un error en la lógica del backend, el sistema podría transferir el dinero automáticamente sin que el usuario lo sepa.
IV. Puntos de ataque exclusivos revelados en los documentos de Polycule
De acuerdo con el contenido del documento, se puede inferir que este incidente y los riesgos potenciales futuros se centran principalmente en los siguientes puntos:
Interfaz de exportación de clave privada:El menú `/wallet` permite a los usuarios exportar claves privadas, lo que indica que los datos de la clave se almacenan de forma reversible en el backend. Una vez que exista inyección SQL, interfaces no autorizadas o fugas de registros, los atacantes podrían llamar directamente a la función de exportación, lo que encaja perfectamente con el escenario de este robo.
Análisis de URL que podría desencadenar SSRF:El robot anima a los usuarios a enviar enlaces de Polymarket para obtener cotizaciones. Si la entrada no se valida adecuadamente, un atacante podría falsificar enlaces que apunten a metadatos de redes internas o servicios en la nube, haciendo que el sistema backend caiga activamente en una trampa, lo que permitiría robar credenciales o configuraciones.
Lógica de escucha del Copy Trading:La operación de copia de transacciones significa que el robot seguirá operaciones sincronizadas con la cartera objetivo. Si los eventos que se escuchan pueden ser falsificados, o el sistema carece de filtros de seguridad para las transacciones objetivo, los usuarios que siguen estas operaciones podrían verse llevados a contratos maliciosos, con el riesgo de que sus fondos se bloqueen o incluso se retiren directamente.
Transmisión entre cadenas y cambio de monedas automático:El proceso automático para convertir el 2% de SOL en POL implica tipos de cambio, deslizamiento de precio, oráculos y permisos de ejecución. Si en el código no se validan con precisión estos parámetros, los atacantes podrían amplificar las pérdidas por conversión o transferir el presupuesto de gas durante el puenteo. Además, si la verificación de los recibos de deBridge no es adecuada, podría provocar riesgos de recargas falsas o registros duplicados.
V. Recordatorios para el equipo del proyecto y los usuarios
Cosas que puede hacer el equipo del proyectoIncluye: entregar un análisis técnico completo y transparente antes de restablecer el servicio; realizar auditorías especializadas sobre el almacenamiento de claves, aislamiento de permisos y validación de entradas; reorganizar los controles de acceso al servidor y los procesos de implementación del código; introducir mecanismos de confirmación doble o límites para operaciones críticas, con el fin de reducir daños futuros.
El usuario final debeToma en cuenta el volumen de fondos en el robot, retira los beneficios obtenidos de forma oportuna y activa con prioridad medidas de protección como la verificación en dos pasos de Telegram y el control desde dispositivos independientes. Antes de que el equipo del proyecto ofrezca un compromiso claro de seguridad, es recomendable mantenerse a la espera y evitar añadir más capital.
VI. Nota final
El incidente de Polycule sirve como recordatorio de que, cuando la experiencia de transacción se reduce a un comando de chat, las medidas de seguridad también deben actualizarse de forma paralela. A corto plazo, los bots de transacciones de Telegram seguirán siendo una entrada popular para los mercados de predicción y las monedas meme, pero este ámbito también continuará siendo un terreno de caza para los atacantes. Recomendamos encarecidamente a los equipos de proyectos tratar la seguridad como parte integral del producto y comunicar públicamente su progreso a los usuarios. Por otro lado, los usuarios deben mantenerse alertas y no considerar los atajos de chat como administradores de activos sin riesgo.