Autor:ExVul SecurityEmpresa de segurança Web3
I. Resumo do Evento
Em 13 de Janeiro de 2026, a Polycule confirmou oficialmente que o seu bot de negociação do Telegram foi hackeado, resultando no roubo de cerca de 230 mil dólares em fundos dos utilizadores. A equipa atualizou rapidamente no X: o bot foi imediatamente desligado, correções de segurança foram aceleradas, e foi prometido que os utilizadores afectados na rede Polygon seriam indemnizados. Várias actualizações desde ontem à noite até hoje têm mantido em alta a discussão sobre segurança na área de bots de negociação no Telegram.
II. Como funciona uma Polycule
A posição da Polycule está clara: permitir aos utilizadores navegar em mercados, gerir posições e gerir fundos na Polymarket diretamente no Telegram. Os principais módulos incluem:
Abertura de conta e painel:`/start` vai atribuir automaticamente uma carteira Polygon e mostrar o saldo, `/home` e `/help` fornecem acesso e explicações sobre os comandos.
Cotações e Negociações`: /trending`, `/search`, colar directamente um URL do Polymarket, tudo isto pode trazer detalhes do mercado; o bot oferece ordens ao mercado, ordens limitadas, cancelamento de ordens e visualização de gráficos.
Carteira e fundos:`/wallet` suporta visualizar ativos, levantar fundos, trocar POL/USDC, exportar a chave privada; `/fund` orienta o processo de depósito.
Ponte de Cadeias Cruzadas:Integração profundadeBridgeAjude os utilizadores a transferir ativos para a Solana, deduzindo automaticamente 2% de SOL, que será trocado por POL para custos de transação (gas).
Funcionalidades avançadas: `/copytrade` abre a interface de negociação por cópia, onde pode seguir ordens com base em percentagens, montantes fixos ou regras personalizadas, podendo ainda configurar funcionalidades avançadas como pausa, negociação inversa, partilha de estratégias, etc.
O bot de negociação Polycule é responsável por interagir com os utilizadores, analisar instruções, gerir chaves nas traseiras, assinar transações e ouvir continuamente eventos na cadeia.
Após o utilizador introduzir `/start`, o sistema gera automaticamente uma carteira Polygon e armazena a chave privada. Em seguida, pode continuar a enviar comandos como `/buy`, `/sell` e `/positions` para concluir operações como ver preços, efetuar encomendas e gerir posições. O bot também consegue analisar links da web do Polymarket e devolver diretamente a entrada para a negociação. Os fundos multirede são geridos através da integração comdeBridgeSuporta a ponte de SOL para o Polygon, e por defeito retira 2% do SOL para ser trocado por POL, destinado ao pagamento de taxas de transação futuras. Funcionalidades mais avançadas incluem Trading por Cópia, ordens limitadas, monitorização automática de carteiras-alvo, entre outros, exigindo que o servidor permaneça online por longos períodos e assine transações de forma contínua.
Terceiro, riscos comuns dos robôs de negociação do Telegram
Por detrás da conveniente interação em estilo de bate-papo, existem algumas deficiências de segurança difíceis de evitar:
Primeiro, quase todos os robôs colocam as chaves privadas dos utilizadores nos seus próprios servidores, e as transações são assinadas diretamente em segundo plano. Isto significa que, caso os servidores sejam comprometidos ou os dados sejam acidentalmente divulgados durante a manutenção, os atacantes poderão exportar em massa as chaves privadas e roubar todos os fundos dos utilizadores de uma só vez. Em segundo lugar, a autenticação depende da conta do Telegram em si. Se os utilizadores forem vítimas de roubo de cartão SIM ou perda de dispositivos, os atacantes não precisam de possuir as palavras mnemónicas para controlar a conta do robô. Por último, não existe uma confirmação local através de uma janela pop-up — nos carteiros tradicionais, cada transação requer confirmação direta do utilizador, mas no modo robô, sempre que houver falhas na lógica do sistema em segundo plano, o dinheiro poderá ser automaticamente transferido sem que o utilizador sequer o perceba.
Quatro. Pontos fracos exclusivos revelados pelos documentos da Polycule
Com base no conteúdo dos documentos, pode-se inferir que os riscos deste incidente e os riscos potenciais futuros concentram-se principalmente nos seguintes pontos:
Interface de exportação de chave privada:O menu `/wallet` permite aos utilizadores exportar chaves privadas, o que indica que os dados das chaves são armazenados de forma reversível no backend. Uma vez que existam injeções SQL, interfaces não autorizadas ou vazamentos de registos, os atacantes podem diretamente invocar a funcionalidade de exportação, sendo este cenário altamente compatível com o caso de roubo atual.
Análise de URL que pode ativar SSRF:O robô incentiva os utilizadores a submeterem ligações do Polymarket para obterem informações de mercado. Se as entradas não forem rigorosamente verificadas, os atacantes poderão falsificar ligações que apontem para metadados de serviços internos ou em nuvem, fazendo com que o sistema em segundo plano "caia deliberadamente na armadilha", levando posteriormente à apropriação de credenciais ou de configurações.
Lógica de monitorização do Copy Trading:A negociação por cópia significa que o robô seguirá operações sincronizadas com a carteira-alvo. Se os eventos monitorizados puderem ser falsificados ou se o sistema carecer de filtros de segurança para as transações-alvo, os utilizadores que copiam as operações poderão ser levados a contratos maliciosos, com o risco de verem os seus fundos bloqueados ou mesmo directamente roubados.
Ligação entre cadeias e troca automática de moedas:O processo automático de troca de 2% de SOL para POL envolve taxas de câmbio, slippage (deslizamento), oráculos e permissões de execução. Se a verificação destes parâmetros no código não for rigorosa, os hackers poderão ampliar as perdas cambiais ou transferir o orçamento de gas durante a ponte. Além disso, uma verificação insuficiente dos recibos do deBridge pode levar ao risco de créditos falsos ou a contabilizações duplicadas.
V. Lembretes para a equipa do projeto e os utilizadores
O que a equipa do projeto pode fazerInclui: entregar uma análise técnica completa e transparente antes da recuperação dos serviços; realizar uma auditoria especializada sobre a armazenamento de chaves, isolamento de permissões e validação de entradas; rever e organizar novamente o controlo de acesso aos servidores e os processos de lançamento do código; introduzir mecanismos de confirmação dupla ou limites para operações críticas, reduzindo assim danos adicionais.
O utilizador final deve entãoConsidere controlar o volume de fundos no robô, retire os lucros obtidos de forma oportuna e ative priorariamente medidas de proteção, como a verificação em duas etapas no Telegram e gestão de dispositivos independentes. Antes que a equipa do projeto forneça compromissos claros de segurança, talvez seja melhor aguardar e evitar adicionar mais fundos.
VI. Pós-escrito
O incidente com a Polycule serve como um lembrete: quando a experiência de negociação é reduzida a um comando de chat, as medidas de segurança também devem ser atualizadas em paralelo. Os bots de negociação do Telegram continuarão, a curto prazo, a ser uma porta de entrada popular para mercados de previsão e moedas meme, mas este setor também continuará a ser um campo de caça para atacantes. Recomendamos que as equipes de projetos tratem a construção de segurança como parte do produto, atualizando os utilizadores sobre os progressos; os utilizadores também devem manter a vigilância e não considerar os atalhos de chat como gestores de ativos sem risco.