लेखक:एक्सवुल सिक्योरिटीवेब3 सुरक्षा कंपनी
1. घटना का सारांश
13 जनवरी, 2026 को, पॉलीकुल (Polycule) ने आधिकारिक रूप से पुष्टि की कि उसका टेलीग्राम ट्रेडिंग बॉट हैक हो गया है और लगभग 230,000 डॉलर की उपयोगकर्ता धनराशि चोरी हो गई है। टीम ने X पर त्वरित अपडेट किया: बॉट को तुरंत बंद कर दिया गया, ठीक करने के लिए त्वरित पैच बनाए जा रहे हैं, और पॉलीगन (Polygon) तरफ के प्रभावित उपयोगकर्ताओं को भुगतान का वादा किया गया है। रात के समय से आज तक के कई बार अपडेट करने के कारण, टेलीग्राम ट्रेडिंग बॉट्स के क्षेत्र में सुरक्षा चर्चा लगातार बढ़ती रही है।
2. पॉलीकुल कैसे काम करता है?
पॉलीकुल का उद्देश्य स्पष्ट है: उपयोगकर्ताओं को टेलीग्राम पर पॉलीमार्केट पर बाजार देखने, स्थिति प्रबंधन और धन के नियमन को पूरा करने में सक्षम बनाएं। मुख्य मॉड्यूल शामिल हैं:
खाता खोलें और पैनल:`/start` पॉलीगॉन वॉलेट के आवंटन और बैलेंस दिखाता है, `/home` और `/help` प्रवेश द्वार और निर्देशों के बारे में जानकारी प्रदान करते हैं।
मूल्य विवरण और`/trending`, `/search`, और सीधे Polymarket URL को चिपकाना बाजार विवरण प्राप्त करने के लिए काम करता है; बॉट मार्केट/लिमिट ऑर्डर, ऑर्डर कैंसिल और चार्ट देखने का समर्थन करता है।
वॉलेट और धन:`/वॉलेट` संपत्ति देखने, निकासी, POL/USDC बदलने, निजी कुंजी निर्यात करने का समर्थन करता है; `/फंड` जमा प्रक्रिया के बारे में सलाह देता है।
क्रॉस-चेन ब्रिज:गहराई से समा�डीब्रिज, सोलाना से एसेट ब्रिज करके उपयोगकर्ता की सहायता करें, और डिफ़ॉल्ट रूप से 2% SOL काट लें और इसे गैस के लिए POL में बदल दें।
उन्नत विशेषताए� `/copytrade` कॉपी ट्रेडिंग इंटरफेस खोलता है, जिसमें प्रतिशत, निश्चित राशि या अनुकूलित नियमों के अनुसार ऑर्डर देने के अलावा अस्थायी रूप से बंद करना, विपरीत ऑर्डर देना, रणनीति साझा करना आदि विस्तारित क्षमताएं भी सेट की �
पॉलीकुल ट्रेडिंग बॉट उपयोगकर्ता के साथ बातचीत करता है, आदेशों का विश्लेषण करता है, पीछे के भाग में उपयोगकर्ता कुंजियों का प्रबंधन करता है, लेनदेन का अपव्यवहार करता है और
जब उपयोगकर्ता `/start` दर्ज करता है, तो पॉलीगॉन वॉलेट के प्राइवेट कुंजी के साथ पीछे के बाजार में स्वचालित रूप से उत्पन्न हो जाता है, फिर आप `/buy` , `/sell` , `/positions` आदि कमांड भेजकर बाजार की जांच, ऑर्डर देना, स्थिति प्रबंधन आदि कार्य कर सकते हैं। रोबोट पॉलीमार्केट के वेब पते को भी विश्लेषित कर सकता है और सीधे लेनदेन प्रवेश द्वार लौटा सकता है। क्रॉस-चेन धन के लिए आवश्यक हैडीब्रिजSOL को पॉलीगॉन पर ब्रिज करने का समर्थन करता है, और पॉलीगॉन पर गैस भुगतान के लिए बाद के लेनदेन में 2% SOL को पॉलीगॉन के लिए डिफॉल्ट रूप से परिवर्तित कर दिया जाता है। अधिक उन्नत फ़ंक्शन जैसे कॉपी ट्रेडिंग, लिमिट ऑर्डर, ऑटोमेटिक टारगेट वॉलेट की निगरानी आदि के लिए सर्वर को लंबे समय तक ऑनलाइन रहना चाहिए और
तीन। टेलीग्राम ट्रेडिंग रोबोट के सामान्य जोखिम
सुविधाजनक चैट इंटरैक्टिव के पीछे कुछ सुरक्षा कमजोरियां हैं जिन्हें आसानी स
सबसे पहले, लगभग सभी रोबोट उपयोगकर्ता के निजी कुंजी को अपने सर्वर पर रखते हैं, और लेनदेन को बैकएंड से सीधे हस्ताक्षरित कर दिया जाता है। इसका अर्थ यह है कि जैसे ही सर्वर को तोड़ दिया जाता है या ऑपरेशन के दौरान डेटा गोपनीयता नहीं रखी जाती है, हमलावर निजी कुंजियों को बैच में निकाल सकते हैं और एकल लेनदेन में सभी उपयोगकर्ता के धन को चुरा सकते हैं। दूसरा, प्रमाणीकरण टेलीग्राम खाते पर निर्भर करता है, यदि उपयोगकर्ता SIM कार्ड हेरफेर या उपकरण खोने का शिकार हो जाता है, तो हमलावर बिना मन्त्रिक शब्दों के रोबोट खाते पर नियंत्रण कर सकते हैं। अंत में, लोकल पॉप-अप पुष्टि का कोई चरण नहीं है - पारंपरिक वॉलेट में प्रत्येक लेनदेन के लिए उपयोगकर्ता को व्यक्तिगत रूप से पुष्टि करनी होती है, जबकि रोबोट मोड में, बैकएंड तर्क में त्रुट
4. पॉलीकुल दस्तावेज़ से पता चले अद्वितीय हमला विंदु
दस्तावेज़ के सामग्री के संयोजन के साथ, इस घटना और भविष्य के संभावित जोखिमों के बारे में निम्नलि�
निजी कुंजी निर्यात इंटरफ़ेस:`/वॉलेट` मेनू उपयोगकर्ता को निजी कुंजी निर्यात करने की अनुमति देता है, जिससे स्पष्ट होता है कि पीछे के सिस्टम में उलटी गई कुंजी डेटा संग्रहीत है। जैसे-जैसे SQL इंजेक्शन, अनधिकृत इंटरफ़ेस या लॉग डेटा के रिसाव हो जाते हैं, हमलावर निर्यात फ़ंक्शन को सीधे कॉल कर सकते हैं, जो इस बार के चोरी के मामले के बिल्कुल
URL विश्लेषण SSRF को सक्रिय कर सकता है:बॉट उपयोगकर्ताओं को पॉलीमार्केट लिंक देकर बाजार अपडेट प्राप्त करने के लिए प्रोत्साहित करता है। यदि इनपुट की जांच ठीक से नहीं की गई है, तो हमलावर आंतरिक या क्लाउड सेवाओं के मेटाडेटा के लिए धोखा देने वाले लिंक बना सकते हैं, जिससे बैकएंड अपने आप को फंसा सकता है, जिससे आग
कॉपी ट्रेडिंग की सुनवाई तर्क:कॉपी ट्रेडिंग इसलिए होती है क्योंकि रोबोट लक्ष्यित वॉलेट के साथ समन्वित ऑपरेशन का पालन करता है। यदि घटनाओं की निगरानी करने योग्य तौर पर नकली बनाई जा सकती है या प्रणाली में लक्ष्यित लेनदेन के लिए सुरक्षा फ़िल्टर की कमी है, तो फॉलो-अप उपयोगकर्ता बुराई से भरपूर क�
क्रॉस-चेन और स्वचालित करेंसी बदलने के चरण:2% SOL को POL में ऑटोमेटिक रूप से बदलने की प्रक्रिया में विनिमय दर, स्लिपेज, ओरेकल और निष्पादन अधिकार शामिल हैं। यदि इन पैरामीटर के मान्यन के लिए कोड में कमजोर जांच है, तो हैकर्स ब्रिजिंग के दौरान विनिमय हानि बढ़ा सकते हैं या गैस बजट को अवैध रूप से अपने अधिकार में ले सकते हैं। इसके अलावा, deBridge के रिसीट के सत्यापन में कमी होने पर नकली जमा या दोहरी जमा के जोखिम भी बन सकते हैं।
5. परियोजना टीम और उपयोगकर्ताओं के लिए सावध
परियोजना टीम कर सकती ह�शामिल हैं: सेवा पुनर्स्थापित करने से पहले एक पूर्ण और पारदर्शी तकनीकी पोस्टमार्टम प्रस्तुत करें; कुंजी संग्रहण, अधिकार अलगाव और इनपुट सत्यापन के विशेष निरीक्षण करें; सर्वर एक्सेस नियंत्रण और कोड जारी करने की प्रक्रिया की पुनर्पहचान करें; महत्वपूर्ण ऑपरेशन के लिए दोबारा पुष्टि या सीमा तंत्र शामिल
अंतिम उपयोगकर्ता करेंरोबोट में पैसा नियंत्रित रखें, लाभ त्वरित निकालें, टेलीग्राम के डबल वेरिफिकेशन, स्वतंत्र डिवाइस मैनेजमेंट आदि सुरक्षा उपायों को प्राथमिकता दें। परियोजना के स्पष्ट सुरक्षा वादा तक, आप अपने धन को बढ़ाए बिना इंतजार कर सकते हैं।
छः, अंतिम टिप्पणी
पॉलीकुल के हादसे ने फिर से ध्यान आकर्षित किया कि जब डीलिंग अनुभव एक चैट कमांड में संकुचित हो जाता है, तो सुरक्षा उपाय भी तेजी से बेहतर होने चाहिए। टेलीग्राम डीलिंग रोबोट अगले कुछ महीनों तक पूर्वानुमान बाजार और मीम कॉइन के लिए लोकप्रिय प्रवेश द्वार रहेंगे, लेकिन यह क्षेत्र हमेशा हमलावरों के लिए शिकार का स्थान रहेगा। हम परियोजना वालों को सुरक्षा निर्माण को उत्पाद का हिस्सा मानकर, उपयोगकर्ताओं के साथ प्रगति को समान रूप से साझा करने की सलाह देते हैं; उपयोगकर्ता भी सतर्क रहें और चैट शॉर्टकट को जोखिम मुक्त संपत्ति प्रबंधक क