Автор:ExVul SecurityКомпания по безопасности Web3
I. Краткая информация об инциденте
13 января 2026 года команда Polycule официально подтвердила, что Telegram-бот для торговли подвергся взлому, в результате которого злоумышленники похитили около 230 000 долларов США средств пользователей. Команда быстро обновила информацию в X: бот был немедленно отключен, а исправление было срочно внедрено. Также команда пообещала возместить убытки пользователям, пострадавшим на платформе Polygon. Несколько объявлений за последние сутки еще больше усилили дискуссию о безопасности Telegram-ботов для торговли.
2. Как работает Поликель (Polycule)
Позиционирование Polycule очень ясно: позволить пользователям просматривать рынки, управлять позициями и распределять средства на Polymarket в Telegram. Основные модули включают:
Открытие счета и панель:`/start` автоматически назначает кошелек Polygon и отображает баланс, `/home`, `/help` предоставляют доступ и описание команд.
Рынок и торговля`/trending`, `/search`, а также прямая вставка URL Polymarket могут получить детали рынка; бот предоставляет возможность размещения рыночных/лимитных ордеров, отмены ордеров и просмотра графиков.
Кошелек и финансы:`/wallet` поддерживает просмотр активов, снятие средств, обмен POL/USDC, экспорт приватного ключа; `/fund` поможет с пополнением баланса.
Мосты между блокчейнами:Глубокая интеграцияdeBridgeпомогает пользователям переместить активы через мост Solana, и по умолчанию списывает 2% SOL, чтобы обменять их на POL для оплаты комиссии.
Дополнительные функции: `/copytrade` — открывает интерфейс копирования торговли, позволяет открывать позиции в процентах, фиксированной сумме или по пользовательским правилам, а также настраивать дополнительные функции: приостановку, открытие позиций в противоположном направлении, общий доступ к стратегии и др.
Polycule Trading Bot отвечает за диалог с пользователем, анализирует команды, а также в фоновом режиме управляет ключами, подписывает транзакции и постоянно отслеживает события в блокчейне.
После ввода пользователем команды `/start`, в фоновом режиме автоматически генерируется кошелек Polygon и хранится закрытый ключ. Затем можно продолжить вводить команды `/buy`, `/sell`, `/positions` и т.д., чтобы выполнить такие операции, как проверка рынка, размещение ордеров и управление позициями. Бот также может анализировать веб-ссылки Polymarket и напрямую возвращать точку входа в сделку. Перевод средств между блокчейнами осуществляется через интеграциюdeBridgeПоддерживает мост SOL в Polygon, по умолчанию 2% SOL автоматически конвертируется в POL для оплаты комиссий за последующие транзакции. Более продвинутые функции включают копирование торговли, лимитные ордера, автоматический мониторинг целевых кошельков и т.д., для которых требуется, чтобы сервер постоянно оставался в сети и непрерывно подписывал транзакции от вашего имени.
3. Общие риски торговых ботов Telegram
За удобным чат-взаимодействием скрываются несколько труднорешаемых проблем безопасности:
Во-первых, почти все роботы хранят приватные ключи пользователей на своих серверах, а транзакции подписываются напрямую с бэкенда. Это означает, что при взломе сервера или утечке данных из-за небрежности в эксплуатации злоумышленники смогут массово экспортировать приватные ключи и вывести все средства пользователей за один раз. Во-вторых, аутентификация зависит от аккаунта в Telegram. Если у пользователя произойдет кража SIM-карты или потеря устройства, злоумышленник сможет контролировать аккаунт робота, не имея при этом мнемоническую фразу. В-третьих, отсутствует локальное подтверждение окном — традиционные кошельки требуют от пользователя личного подтверждения каждой транзакции, тогда как в случае с роботами при сбое логики бэкенда система может автоматически перевести деньги без ведома пользователя.
4. Уникальные атакующие поверхности, раскрытые в документах Polycule
На основании содержания документа можно предположить, что текущее происшествие и потенциальные риски в будущем в основном сосредоточены в следующих аспектах:
Интерфейс экспорта закрытого ключа:Меню `/wallet` позволяет пользователям экспортировать закрытые ключи, что означает, что в фоновом режиме хранятся обратимые данные ключей. Как только появляется SQL-внедрение, несанкционированный интерфейс или утечка журналов, злоумышленники могут напрямую использовать функцию экспорта, сценарий полностью соответствует случаю хищения.
Анализ URL может спровоцировать SSRF:Робот поощряет пользователей отправлять ссылки на Polymarket для получения котировок. Если входные данные не проверяются должным образом, злоумышленники могут подделать ссылки, ведущие к внутренней сети или метаданным облачных служб, чтобы заставить фоновые процессы «наступить на грабли», что приведет к краже учетных данных или конфигураций.
Логика прослушивания торговли копированием:Копирование торговли означает, что робот будет следовать за целевым кошельком, выполняя синхронные операции. Если прослушиваемые события могут быть подделаны, или система не имеет безопасного фильтра для целевых сделок, пользователи, копирующие сделки, могут быть направлены в злонамеренные контракты, где их средства будут заблокированы или же будут непосредственно изъяты.
Межсетевой обмен и автоматическая смена монет:Процесс автоматического обмена 2% SOL на POL включает в себя валютный курс, проскальзывание, оракулы и разрешения на исполнение. Если проверка параметров в коде не будет строгой, злоумышленники могут увеличить убытки от обмена или перенаправить бюджет Gas во время моста. Кроме того, если проверка чека deBridge будет недостаточной, это может привести к риску фальшивого пополнения или двойной записи.
Пятый: Напоминание команде проекта и пользователям
Что может сделать команда проектаВключая: до восстановления услуг представить полный и прозрачный технический анализ инцидента; провести специальную проверку хранения ключей, изоляции прав и проверки входных данных; заново пересмотреть контроль доступа к серверам и процесс публикации кода; внедрить для ключевых операций механизм двойного подтверждения или лимитов, чтобы снизить дальнейшие убытки.
конечные пользователи должныУчитывайте объем средств, находящихся в роботе, своевременно снимайте полученные прибыли, и в первую очередь включите такие меры защиты, как двухфакторная авторизация в Telegram, независимое управление устройствами и т. д. До тех пор, пока команда проекта не даст четких обещаний по безопасности, лучше воздержаться и не добавлять дополнительные средства.
VI. Послесловие
Инцидент с Polycule снова напоминает нам, что когда торговый опыт сводится к одной команде в чате, меры безопасности также должны быть обновлены. В ближайшее время торговые боты в Telegram останутся популярным способом доступа к рынку прогнозов и мем-токенов, но эта область также будет продолжать оставаться охотничьей территорией для атакующих. Мы рекомендуем проектам рассматривать безопасность как часть продукта и одновременно информировать пользователей о прогрессе. Пользователям также следует оставаться бдительными, не принимая команды чата за безопасного менеджера активов без риска.