Accueil
Actualités
Détails

Le bot de trading Telegram Polycule sur Polymarket piraté, 230 000 $ volés

iconPANews
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Les données en chaîne révèlent que Polycule, un des principaux bots de trading Telegram sur Polymarket, a été piraté le 13 janvier 2026, entraînant le vol de 230 000 dollars provenant des fonds des utilisateurs. L'équipe a immédiatement mis le bot hors ligne, déployé un correctif et promis de rembourser les utilisateurs via Polygon. L'analyse en chaîne montre que cet incident a réveillé de nouvelles inquiétudes concernant la sécurité des bots de trading basés sur Telegram.

Auteur :ExVul SécuritéSociété de sécurité Web3

I. Résumé de l'événement

Le 13 janvier 2026, Polycule a officiellement confirmé que son robot de trading Telegram avait été piraté, entraînant le vol d'environ 230 000 dollars de fonds utilisateurs. L'équipe a rapidement publié des mises à jour sur X : le robot a été immédiatement déconnecté, des correctifs ont été rapidement mis en œuvre, et l'équipe a promis de compenser les utilisateurs affectés sur la chaîne Polygon. Les annonces successives de la nuit dernière à aujourd'hui ont suscité un débat croissant sur la sécurité des robots de trading sur Telegram.

Deuxièmement, comment fonctionne une polycule

La position de Polycule est claire : permettre aux utilisateurs de parcourir les marchés, de gérer leurs positions et d'effectuer des opérations financières sur Polymarket directement depuis Telegram. Les principaux modules comprennent :

Ouverture de compte et panneau :`/start` attribuera automatiquement un portefeuille Polygon et affichera le solde, tandis que `/home` et `/help` offriront un accès et des instructions.

Cours et transactionsLes commandes `/trending`, `/search` et le collage direct d'une URL Polymarket permettent d'obtenir les détails d'un marché ; le robot propose des ordres au marché, des ordres limites, l'annulation d'ordres et l'affichage des graphiques.

Portefeuille et fonds :`/wallet` permet d'afficher les actifs, de retirer des fonds, d'échanger entre POL et USDC, d'exporter la clé privée ; `/fund` guide le processus de recharge.

Ponts interchaînes :Intégration approfondiedeBridge, permettant aux utilisateurs d'importer des actifs depuis Solana, et prélevant par défaut 2 % de SOL pour les échanger contre du POL destiné aux frais de transaction.

Fonctionnalités avancées : `/copytrade` ouvre l'interface de trading automatisé, permettant de copier les ordres selon un pourcentage, un montant fixe ou des règles personnalisées. Vous pouvez également configurer des fonctionnalités avancées telles que la suspension, le trading inverse, le partage de stratégies, etc.

Le bot de trading Polycule gère les conversations avec les utilisateurs et l'analyse des instructions, tout en gérant en arrière-plan les clés, en signant les transactions et en surveillant en continu les événements sur la chaîne.

Après que l'utilisateur entre `/start`, un portefeuille Polygon est automatiquement généré en arrière-plan et la clé privée est conservée en sécurité. L'utilisateur peut ensuite continuer à envoyer des commandes comme `/buy`, `/sell`, `/positions`, etc., pour consulter les cours, passer des ordres et gérer ses positions. Le robot est également capable d'analyser les liens web de Polymarket et de fournir directement l'entrée pour effectuer les transactions. Le transfert de fonds interchaîne est assuré par l'intégration dedeBridgeIl prend en charge le transfert de SOL vers Polygon, avec un prélèvement automatique de 2 % du SOL pour l'échanger contre des POL, afin de payer les frais de transaction ultérieurs. Des fonctionnalités plus avancées incluent le trading par copie, les ordres limites, et la surveillance automatique d'adresses cibles, ce qui nécessite que le serveur reste en ligne en permanence et signe automatiquement les transactions.

Troisièmement, les risques communs des robots de trading Telegram

Derrière l'interaction conversationnelle pratique se cachent plusieurs lacunes de sécurité difficiles à contourner :

Tout d'abord, presque tous les robots mettent les clés privées des utilisateurs sur leurs propres serveurs, et les transactions sont signées directement en arrière-plan. Cela signifie qu'une fois que les serveurs sont piratés ou que les données sont accidentellement divulguées, les attaquants peuvent extraire en masse les clés privées et emporter les fonds de tous les utilisateurs en une seule fois. Deuxièmement, l'authentification dépend du compte Telegram lui-même. Si l'utilisateur subit un piratage de sa carte SIM ou perd son appareil, les attaquants n'ont pas besoin de connaître les mots de passe mnémotechniques pour prendre le contrôle du compte du robot. Enfin, il n'y a pas de confirmation par fenêtre contextuelle locale - les portefeuilles traditionnels exigent que chaque transaction soit confirmée personnellement par l'utilisateur, tandis que dans le mode robot, dès qu'il y a une erreur logique en arrière-plan, le système peut transférer automatiquement l'argent sans que l'utilisateur s'en aperçoive.

Quatre. Points d'attaque propres révélés par les documents Polycule

En se basant sur le contenu du document, on peut en déduire que l'événement actuel et les risques potentiels futurs se concentrent principalement sur les points suivants :

Interface d'exportation de la clé privée :Le menu `/wallet` permet aux utilisateurs d'exporter leurs clés privées, ce qui indique que les données de clés réversibles sont stockées en arrière-plan. Dès qu'il existe une injection SQL, une interface non autorisée ou une fuite de journaux, un attaquant peut directement appeler la fonction d'exportation, ce scénario correspond étroitement à celui de la violation actuelle.

L'analyse d'URL peut déclencher un SSRF :Le robot encourage les utilisateurs à soumettre des liens Polymarket pour obtenir des informations de marché. Si les entrées ne sont pas rigoureusement validées, un attaquant pourrait falsifier des liens pointant vers des métadonnées d'un réseau interne ou d'un service cloud, ce qui pousserait l'arrière-plan à "tomber dans le piège" activement, permettant ainsi de voler des identifiants ou des configurations.

Logique d'écoute du Copy Trading :Le trading de copie signifie que le robot effectue des opérations synchronisées en suivant le portefeuille cible. Si les événements surveillés peuvent être falsifiés ou si le système ne possède pas de filtre de sécurité adéquat pour les transactions ciblées, les utilisateurs qui copient ces transactions risquent d'être dirigés vers des contrats malveillants, ce qui pourrait entraîner le verrouillage de leurs fonds, voire leur vol direct.

Transfert interchaîne et échange automatique de jetons :Le processus automatique de conversion de 2 % de SOL en POL implique des taux de change, des glissements de prix (slippage), des oracles et des autorisations d'exécution. Si la vérification des paramètres dans le code n'est pas rigoureuse, un pirate pourrait amplifier les pertes liées au change ou transférer le budget de gaz lors d'un pont de transfert. De plus, une vérification insuffisante des reçus de deBridge pourrait entraîner des risques de crédits fictifs ou de comptabilisation multiple.

Cinq. Rappel à l'équipe du projet et aux utilisateurs

Ce que l'équipe du projet peut faireCela inclut : livrer avant la restauration du service un bilan technique complet et transparent ; réaliser un audit détaillé concernant le stockage des clés, l'isolement des droits d'accès et la vérification des entrées ; revoir et clarifier les processus de contrôle d'accès aux serveurs et de déploiement du code ; introduire pour les opérations critiques un mécanisme de confirmation double ou un plafonnement, afin de réduire les risques de dommages supplémentaires.

L'utilisateur final devrait alorsPensez à contrôler le montant des fonds détenus par le robot, retirez vos bénéfices dès qu'ils sont réalisés, et activez prioritairement des mesures de protection comme la vérification en deux étapes sur Telegram et la gestion d'appareils indépendants. Jusqu'à ce que l'équipe du projet fasse une promesse claire concernant la sécurité, il serait préférable d'attendre et d'éviter d'ajouter davantage de fonds.

Sixième partie : Postface

L'incident Polycule rappelle une fois de plus que lorsque l'expérience de trading est réduite à une commande de chat, les mesures de sécurité doivent également évoluer en parallèle. À court terme, les robots de trading sur Telegram resteront une entrée populaire pour les marchés prédictifs et les jetons Meme, mais ce domaine continuera également d'être une cible privilégiée pour les attaquants. Nous recommandons aux équipes de projets de considérer la sécurité comme une composante essentielle de leur produit et de communiquer régulièrement leurs progrès aux utilisateurs. Les utilisateurs, quant à eux, doivent rester vigilants et ne pas considérer les raccourcis de chat comme des gestionnaires d'actifs sans risque.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.