Penulis:Keamanan ExVulPerusahaan keamanan Web3
1. Ringkasan Kejadian
Pada 13 Januari 2026, Polycule secara resmi mengonfirmasi bahwa Telegram trading bot mereka telah menjadi korban serangan peretas, sehingga dana pengguna senilai sekitar 230.000 dolar AS raib. Tim segera memperbarui situasi di X: bot langsung dimatikan, perbaikan diterapkan dengan cepat, dan mereka berjanji akan memberikan kompensasi kepada pengguna yang terkena dampak di sisi Polygon. Beberapa kali pengumuman dari semalam hingga hari ini telah memicu diskusi yang semakin panas mengenai keamanan di sektor Telegram trading bot.
Dua, Bagaimana Polycule Bekerja
Posisi Polycule sangat jelas: memungkinkan pengguna menjelajahi pasar, mengelola posisi, dan mengatur dana mereka di Polymarket langsung dari Telegram. Modul utama mencakup:
Pembukaan Akun & Panel:`/start` akan secara otomatis mengalokasikan dompet Polygon dan menampilkan saldo, `/home`, `/help` menyediakan akses dan penjelasan perintah.
Perdagangan dan Transaksi`: /trending`, `/search`, atau langsung menempelkan URL Polymarket dapat menampilkan detail pasar; bot menyediakan pemesanan pasar/limit, pembatalan pesanan, dan tampilan grafik.
Dompet dan Dana:`/wallet` mendukung melihat aset, menarik dana, menukar POL/USDC, mengekspor kunci pribadi; `/fund` memandu proses penyetoran dana.
Jembatan lintas rantai:Integrasi mendalamdeBridgeMembantu pengguna memasukkan aset dari Solana, dan secara default mengurangi 2% SOL yang ditukarkan menjadi POL untuk biaya gas.
Fitur Lanjutan: `/copytrade` membuka antarmuka perdagangan salinan, memungkinkan untuk menyalin pesanan berdasarkan persentase, jumlah tetap, atau aturan khusus, serta dapat mengatur fitur tambahan seperti jeda, menyalin secara terbalik, berbagi strategi, dan lainnya.
Polycule Trading Bot menangani percakapan dengan pengguna, menganalisis instruksi, serta mengelola kunci di latar belakang, menandatangani transaksi, dan terus memantau peristiwa di rantai.
Setelah pengguna memasukkan `/start`, sistem secara otomatis akan menghasilkan dompet Polygon dan menyimpan kunci pribadinya. Setelah itu, pengguna dapat terus mengirimkan perintah seperti `/buy`, `/sell`, `/positions`, dan lainnya untuk menyelesaikan operasi seperti memeriksa harga, memasang pesanan, dan mengelola posisi. Robot juga dapat menganalisis tautan web Polymarket dan langsung mengembalikan pintu masuk perdagangan. Sementara itu, dana lintas rantai bergantung pada integrasi.deBridgeMendukung pengiriman SOL ke Polygon, dan secara default mengambil 2% SOL untuk ditukarkan menjadi POL sebagai pembayaran biaya gas untuk transaksi berikutnya. Fitur lanjutan lainnya mencakup Copy Trading, pesanan harga terbatas (limit order), pemantauan otomatis dompet tujuan, dan lainnya, yang memerlukan server tetap online dalam jangka waktu lama dan terus menerus menandatangani transaksi secara otomatis.
3. Risiko Umum dari Telegram Trading Bot
Di balik interaksi berbasis obrolan yang nyaman, terdapat beberapa kelemahan keamanan yang sulit dihindari:
Pertama, hampir semua robot menyimpan kunci pribadi pengguna di server mereka sendiri, dan transaksi ditandatangani langsung dari belakang layar. Ini berarti bahwa jika server diretas atau data bocor karena kelalaian operasional, penyerang dapat mengekspor kunci pribadi secara massal dan menguras dana semua pengguna sekaligus. Kedua, otentikasi bergantung pada akun Telegram itu sendiri. Jika pengguna mengalami pencurian kartu SIM atau kehilangan perangkat, penyerang tidak perlu mengetahui frasa pemulihan untuk mengambil alih akun robot. Terakhir, tidak ada langkah konfirmasi melalui pop-up lokal—dompet tradisional memerlukan konfirmasi manual pengguna untuk setiap transaksi, sementara dalam mode robot, jika logika belakang layar mengalami kesalahan, sistem dapat secara otomatis memindahkan uang tanpa sepengetahuan pengguna.
Empat. Titik Lemah Khas yang Diumumkan oleh Dokumen Polycule
Berdasarkan isi dokumen, dapat diperkirakan bahwa kejadian kali ini dan risiko potensial di masa depan terutama terkonsentrasi pada poin-poin berikut:
Antarmuka ekspor kunci pribadi:Menu `/wallet` memungkinkan pengguna mengekspor kunci pribadi, yang menunjukkan bahwa data kunci yang tersimpan di belakang layar adalah data kunci yang dapat diubah kembali. Jika terjadi injeksi SQL, akses ke antarmuka tanpa otorisasi, atau kebocoran log, penyerang dapat langsung memanggil fungsi ekspor, dan skenario ini sangat sesuai dengan kasus pencurian kali ini.
Analisis URL dapat memicu SSRF:Robot mendorong pengguna untuk mengirimkan tautan Polymarket untuk mendapatkan informasi harga. Jika masukan tidak dicek secara ketat, penyerang dapat membuat tautan palsu yang mengarah ke metadata layanan internal atau cloud, sehingga memaksa backend untuk secara aktif "terjatuh" ke perangkap, lebih lanjut mencuri kredensial atau konfigurasi.
Logika pemantauan Copy Trading:Transaksi salinan berarti robot akan mengikuti operasi dompet target secara sinkron. Jika acara yang dipantau dapat dipalsukan atau sistem tidak memiliki filter keamanan untuk transaksi target, pengguna yang mengikuti transaksi tersebut mungkin terbawa ke kontrak jahat, dana mereka bisa dikunci atau bahkan langsung dicuri.
Lompat antar rantai dan tahap penukaran koin otomatis:Proses otomatis mengubah 2% SOL menjadi POL melibatkan nilai tukar, slippage, orakel, dan hak eksekusi. Jika validasi parameter-parameter ini tidak ketat dalam kode, peretas dapat memperbesar kerugian tukar menukar atau memindahkan anggaran Gas saat melakukan bridging. Selain itu, jika verifikasi terhadap resep deBridge tidak memadai, risiko pengisian ulang palsu atau perekaman ganda juga dapat terjadi.
Lima. Pengingat untuk Tim Proyek dan Pengguna
Apa yang dapat dilakukan tim proyekTermasuk: Menyampaikan laporan teknis yang lengkap dan transparan sebelum layanan dipulihkan; Melakukan audit khusus terhadap penyimpanan kunci, isolasi izin, dan validasi masukan; Meninjau ulang kontrol akses server dan alur proses penerbitan kode; Mengenalkan mekanisme konfirmasi ganda atau batas kuota untuk operasi kritis, guna mengurangi kerusakan lebih lanjut.
pengguna akhir harusPertimbangkan untuk mengontrol jumlah dana yang disimpan di dalam robot, segera menarik keuntungan yang didapat, serta memprioritaskan penggunaan langkah-langkah perlindungan seperti verifikasi dua faktor di Telegram dan pengelolaan perangkat mandiri. Sebelum pihak proyek memberikan komitmen keamanan yang jelas, lebih baik sementara waktu menunggu dan menghindari menambah modal.
VI. Catatan Akhir
Insiden Polycule kembali mengingatkan kita bahwa ketika pengalaman transaksi dikurangi menjadi satu perintah obrolan, langkah-langkah keamanan juga harus ditingkatkan secara bersamaan. Dalam jangka pendek, bot Telegram tetap akan menjadi pintu masuk populer untuk pasar prediksi dan koin meme. Namun, bidang ini juga akan terus menjadi medan berburu bagi para penyerang. Kami menyarankan pihak proyek untuk menjadikan pembangunan keamanan sebagai bagian dari produk, serta secara bersamaan mengumumkan perkembangan kepada pengguna. Di sisi lain, pengguna juga harus tetap waspada dan tidak menganggap pintasan obrolan sebagai pengelola aset tanpa risiko.