Penulis:Keselamatan ExVulSyarikat keselamatan Web3
1. Ringkasan Peristiwa
Pada 13 Januari 2026, Polycule secara rasmi mengesahkan bahawa bot perdagangan Telegram mereka telah diserang oleh penjenayah siber, dan kira-kira 230,000 dolar AS dana pengguna telah dicuri. Pasukan mereka memaparkan kemas kinian pantas di X: bot tersebut segera ditangguhkan, dan patch pembaikan dipercepatkan, dengan jaminan bahawa pengguna Polygon yang terjejas akan diberi kompensasi. Beberapa pengumuman dari semalam hingga hari ini telah memanaskan lagi perbincangan keselamatan dalam bidang bot perdagangan Telegram.
Dua, Bagaimana Polycule Berfungsi
Penghalausan Polycule sangat jelas: membolehkan pengguna melayari pasaran, menguruskan kedudukan dan mengendalikan dana mereka di Polymarket melalui Telegram. Modul utama merangkumi:
Akaun & Panel:`/start` akan secara automatik mengagihkan dompet Polygon dan memaparkan baki, `/home`, `/help` menyediakan akses dan penerangan arahan.
Kemaskini & DaganganAnda boleh gunakan `/trending`, `/search`, atau terus tampal URL Polymarket untuk mendapatkan butiran pasaran; robot menyediakan tempahan pasaran/harga had, pembatalan pesanan, dan pemeriksaan carta.
Dompet dan dana:`/wallet` menyokong memaparkan aset, menarik dana, menukar POL/USDC, memuat turun kunci peribadi; `/fund` memandu proses pengisian semula.
Jambatan Lintas Rantaian:Integrasi mendalamdeBridgemenyokong pengguna memasukkan aset melalui jambatan Solana, dan secara lalai mengenakan 2% SOL untuk ditukarkan kepada POL sebagai yuran gas.
Ciri Lanjutan: `/copytrade` membuka antara muka dagangan salinan, membolehkan pengguna mengikuti pesanan mengikut peratusan, jumlah tetap atau peraturan tersuai, serta membenarkan tetapan seperti menangguhkan, mengikuti pesanan songsang, perkongsian strategi dan keupayaan berkembang lainnya.
Polycule Trading Bot bertanggungjawab berkomunikasi dengan pengguna, menganalisis arahan, menguruskan kunci di belakang tabir, menandatangani transaksi, dan memantau kesan lantai secara berterusan.
Apabila pengguna memasukkan `/start`, dompet Polygon akan dijana secara automatik oleh sistem belakang dan kunci peribadi akan disimpan, seterusnya pengguna boleh terus menghantar arahan seperti `/buy`, `/sell`, `/positions` dan sebagainya untuk menyelesaikan operasi semakan carta, tempahan pesanan, pengurusan kedudukan dan sebagainya. Robot juga boleh menganalisis pautan laman sesawang Polymarket dan terus mengembalikan pintu masuk perdagangan. Pemindahan dana lintah rantai pula bergantung kepada sambungandeBridgeIa menyokong pengimejan SOL ke Polygon, dan secara lalai mengambil keluar 2% SOL untuk ditukarkan kepada POL bagi membayar yuran Gas untuk transaksi seterusnya. Fungsi yang lebih canggih merangkumi Dagangan Salin, Pesanan Had, dan pemantauan automatik dompet sasaran, yang memerlukan pelayan sentiasa dalam talian dan menandatangani transaksi secara automatik.
3. Risiko Umum Untuk Telegram Bot Dagang
Di sebalik interaksi berbentuk perbualan yang mudah, terdapat beberapa kelemahan keselamatan yang sukar dielakkan:
Pertama, hampir semua robot memasukkan kunci peribadi pengguna ke dalam server mereka sendiri, dan transaksi ditandatangani secara automatik oleh belakang tabir. Ini bermakna sekiranya server diserang atau data terbocor disebabkan oleh kesilapan pengurusan, penyerang boleh memuat turun kunci peribadi secara berkala dan mengosongkan semua dana pengguna dalam satu masa. Kedua, pengesahan bergantung kepada akaun Telegram itu sendiri, sekiranya pengguna mengalami kecurian kad SIM atau kehilangan peranti, penyerang tidak perlu mengetahui frasa ingatan untuk mengawal akaun robot. Akhir sekali, tiada langkah pengesahan melalui tetingkap tempatan - dompet tradisional memerlukan pengesahan manual pengguna untuk setiap transaksi, manakala dalam mod robot, sekiranya logik belakang tabir rosak, sistem mungkin secara automatik memindahkan dana tanpa pengetahuan pengguna.
4. Titik Lemah Khas Yang Didedahkan Oleh Dokumen Polycule
Berdasarkan kandungan dokumen, boleh diperkirakan kejadian kali ini dan risiko potensi di masa depan terutamanya tertumpu pada beberapa aspek berikut:
Antara muka eksport kunci peribadi:Menu `/wallet` membenarkan pengguna memfailkan kunci peribadi, yang menunjukkan data kunci yang boleh dibalik disimpan di belakang. Sekiranya terdapat pelabuhan SQL, sambungan tanpa kebenaran atau kebocoran log, penyerang boleh terus memanggil fungsi eksport, situasi ini sangat selari dengan kes yang dicuri kali ini.
Pemohonan URL mungkin memicu SSRF:Robotik itu mendorong pengguna untuk menghantar pautan daripada Polymarket untuk mendapatkan maklumat pasaran. Jika input tidak diperiksa dengan teliti, penyerang boleh menipu pautan ke metadata rangkaian dalaman atau perkhidmatan awan, menyebabkan pangkalan belakang secara aktif "terjatuh ke dalam lubang", seterusnya mencuri kelayakan atau konfigurasi.
Logik Mendengar Dagangan Salin:Perdagangan salinan bermaksud robot akan mengikuti operasi dompet sasaran secara serentak. Jika peristiwa yang dipantau boleh dipalsukan atau sistem tidak mempunyai penapis keselamatan untuk perdagangan sasaran, pengguna yang mengikuti mungkin ditarik ke dalam kontrak jahat, dana mereka dikunci atau langsung dicuri.
Perantara lintas rantai dan tukar mata wang secara automatik:Proses automatik menukar 2% SOL kepada POL melibatkan kadar pertukaran, slippage, oracle, dan keizinan eksekusi. Jika pengesahan parameter ini tidak ketat dalam kod, penjenayah siber mungkin membesarkan keuntungan kerugian pertukaran atau memindahkan bajet Gas semasa jambatan. Selain itu, jika pengesahan terhadap resit deBridge tidak mencukupi, risiko pengisian semula palsu atau pemasukan berulang juga boleh berlaku.
Lima. Peringatan kepada pasukan projek dan pengguna
Apa yang boleh dilakukan oleh pasukan projekMerangkumi: menyerahkan sebuh tinjauan teknikal yang lengkap dan telus sebelum memulihkan perkhidmatan; mengadakan audit khas terhadap penyimpanan kunci, pengasingan kebenaran, dan pengesahan input; menyusun semula kawalan akses pelayan dan proses penghantaran kod; memperkenalkan mekanisme pengesahan dua kali atau had kewangan untuk operasi penting, untuk mengurangkan kerosakan lanjut.
Pengguna akhir pula patutPertimbangkan untuk mengawal saiz dana dalam robot, menarik keuntungan dengan segera, dan memprioritaskan pengaktifan kaedah keselamatan seperti pengesahan dua faktor Telegram dan pengurusan peranti berkala. Sebelum pihak projek memberi jaminan keselamatan yang jelas, lebih baik menunggu sahaja dan mengelak menambah modal.
Enam, Catatan Akhir
Kecelakaan Polycule sekali lagi mengingatkan kita: apabila pengalaman perdagangan dikumpulkan menjadi satu arahan sembang, langkah keselamatan juga perlu ditingkatkan secara serentak. Bot perdagangan Telegram akan terus menjadi pintu masuk popular untuk pasaran jangka dan kripto meme dalam jangka pendek, tetapi kawasan ini juga akan terus menjadi medan berburu bagi penyerang. Kami mencadangkan pihak projek memandang pembinaan keselamatan sebagai sebahagian daripada produk, serta memaklumkan perkembangan secara serentak kepada pengguna; manakala pengguna pula perlu sentiasa berjaga-jaga, jangan menganggap pintasan sembang sebagai pengurus aset tanpa risiko.