หน้าแรก
ข่าวสาร
รายละเอียด

บอทซื้อขายของ Telegram Polycule บน Polymarket ถูกโจมตี ขโมยเงินไป 230,000 ดอลลาร์

iconPANews
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconสรุป

expand icon
ข้อมูลบนบล็อกเชนแสดงให้เห็นว่า Polycule ซึ่งเป็นบอทซื้อขายบน Telegram ที่มีชื่อเสียงบนแพลตฟอร์ม Polymarket ถูกโจมตีเมื่อวันที่ 13 มกราคม ปี 2026 โดยมีเงินจำนวน 230,000 ดอลลาร์ถูกขโมยจากเงินของผู้ใช้ ทีมงานได้ปิดการใช้งานบอททันที ปล่อยแพตช์แก้ไข และสัญญาว่าจะชดเชยผู้ใช้ผ่าน Polygon การวิเคราะห์บนบล็อกเชนแสดงให้เห็นว่าเหตุการณ์นี้ได้ก่อให้เกิดความกังวลเกี่ยวกับความปลอดภัยของบอทซื้อขายบน Telegram อีกครั้ง

ผู้แต่ง:ExVul Securityบริษัทความปลอดภัย Web3

1. สรุปเหตุการณ์

เมื่อวันที่ 13 มกราคม 2026 ทาง Polycule ได้ยืนยันอย่างเป็นทางการว่า บอทซื้อขายบน Telegram ของพวกเขาถูกโจมตีโดยแฮกเกอร์ ทำให้เงินของผู้ใช้จำนวนประมาณ 230,000 ดอลลาร์ถูกขโมยไป ทีมงานได้อัปเดตผ่าน X อย่างรวดเร็วว่า บอทได้ถูกปิดทันทีหลังเกิดเหตุการณ์ และมีการเร่งพัฒนาแพตช์แก้ไข นอกจากนี้ยังให้คำมั่นว่าผู้ใช้ที่ได้รับผลกระทบในเครือข่าย Polygon จะได้รับการชดเชย ในช่วงไม่กี่ชั่วโมงที่ผ่านมา ทั้งคืนและวันนี้ ได้มีการอัปเดตข้อมูลหลายรอบ ทำให้ประเด็นความปลอดภัยของบอทซื้อขายบน Telegram กลายเป็นหัวข้อที่ได้รับความสนใจอย่างต่อเนื่อง

2. การทำงานของ Polycule

การวางตำแหน่งของ Polycule นั้นชัดเจน: ช่วยให้ผู้ใช้สามารถท่องตลาด จัดการตำแหน่ง และจัดสรรเงินทุนบน Polymarket ผ่าน Telegram ได้ โมดูลหลักประกอบด้วย:

การเปิดบัญชีและแผงควบคุม:`/start` จะสร้างและแสดงยอดคงเหลือของกระเป๋าเงิน Polygon แบบอัตโนมัติ และ `/home` / `/help` จะให้ข้อมูลการเข้าถึงและคำอธิบายคำสั่งต่างๆ

ข้อมูลตลาดและธุรกรรมทั้ง `/trending` `/search` หรือการวางลิงก์ URL ของ Polymarket ลงไปโดยตรง ล้วนสามารถดึงข้อมูลตลาดได้; บอทให้บริการในการสั่งซื้อขายตลาด/ขายแบบจำกัด ยกเลิกคำสั่งซื้อ และดูกราฟราคา

กระเป๋าเงินและเงินทุน:`/wallet` รองรับการดูสินทรัพย์ ถอนเงิน แลกเปลี่ยน POL/USDC และส่งออก Private Key; `/fund` คือคำแนะนำการเติมเงิน

สะพานข้ามโซ่ข้อมูล:การผสานรวมอย่างลึกซdeBridgeช่วยให้ผู้ใช้โอนสินทรัพย์เข้ามาใน Solana และหักค่าธรรมเนียม 2% ของ SOL เพื่อแลกเป็น POL สำหรับค่าธรรมเนียมการดำเนินการ (Gas) โดยอัตโนมัติ

คุณสมบัติขั้นสูง `/copytrade` เปิดใช้งานหน้าต่างการซื้อขายแบบ Copy ซึ่งคุณสามารถติดตามคำสั่งซื้อตามเปอร์เซ็นต์ จำนวนเงินคงที่ หรือกฎที่กำหนดเอง รวมถึงยังสามารถตั้งค่าการหยุดการติดตาม การติดตามในทางตรงข้าม การแบ่งปันกลยุทธ์ และความสามารถอื่นๆ เพิ่มเติมได้อีกด้วย

บอทซื้อขาย Polycule รับผิดชอบในการสนทนาและโต้ตอบกับผู้ใช้ วิเคราะห์คำสั่ง จัดการกุญแจในเบื้องหลัง ลงชื่อธุรกรรม และติดตามเหตุการณ์บนบล็อกเชนอย่างต่อเนื่อง

เมื่อผู้ใช้ส่งคำสั่ง `/start` เซิร์ฟเวอร์จะสร้างกระเป๋าเงิน Polygon ขึ้นมาโดยอัตโนมัติและเก็บกุญแจส่วนตัวไว้ จากนั้นผู้ใช้สามารถส่งคำสั่ง `/buy` `/sell` `/positions` เพื่อดูราคา ทำการซื้อขาย และจัดการตำแหน่งการลงทุนต่อไปได้ บอทยังสามารถวิเคราะห์ลิงก์เว็บไซต์ของ Polymarket และแสดงทางเข้าการซื้อขายได้โดยตรง สำหรับการโอนเงินข้ามเครือข่ายนั้นจะเชื่อมต่อกับdeBridgeรองรับการย้าย SOL ผ่านสะพานไปยัง Polygon และโดยค่าเริ่มต้นจะหัก 2% ของ SOL เพื่อแลกเป็น POL สำหรับใช้จ่ายค่าธรรมเนียมในการทำธุรกรรมต่อไป ฟังก์ชันขั้นสูงเพิ่มเติม ได้แก่ การซื้อขายแบบ Copy Trading, การตั้งคำสั่งซื้อขายแบบกำหนดราคา (Limit Order) และการตรวจสอบอัตโนมัติสำหรับกระเป๋าเงินเป้าหมาย ซึ่งต้องการให้เซิร์ฟเวอร์ทำงานต่อเนื่องและลงชื่อเข้าใช้ธุรกรรมแทนอย่างต่อเนื่อง

3. ความเสี่ยงทั่วไปของ Telegram บอทซื้อขาย

ภายใต้การโต้ตอบแบบแชทที่สะดวกสบายนั้น คือจุดอ่อนด้านความปลอดภัยที่ยากจะหลีกเลี่ยงได้หลายประการ:

ประการแรก แทบทุกบอทจะเก็บกุญแจส่วนตัวของผู้ใช้อยู่บนเซิร์ฟเวอร์ของตนเอง และการทำธุรกรรมจะถูกเซ็นชื่อด้วยตนเองโดยตรงจากด้านหลัง ซึ่งหมายความว่าหากเซิร์ฟเวอร์ถูกโจมตี หรือข้อมูลรั่วไหลเนื่องจากความประมาทในการดูแลระบบ ผู้โจมตีสามารถส่งออกกุญแจส่วนตัวได้เป็นจำนวนมาก และสามารถโอนเงินของผู้ใช้ทั้งหมดไปในคราวเดียวได้ ประการที่สอง การยืนยันตัวตนขึ้นอยู่กับบัญชี Telegram เอง หากผู้ใช้ถูกโจมตีด้วยการปลอมแปลงการ์ด SIM หรือสูญเสียอุปกรณ์ ผู้โจมตีสามารถควบคุมบัญชีบอทได้โดยไม่ต้องรู้จดจำคำ (mnemonic phrase) ประการสุดท้าย ไม่มีขั้นตอนการยืนยันแบบเปิดหน้าต่างในท้องถิ่น—กระเป๋าเงินแบบดั้งเดิมต้องการให้ผู้ใช้ยืนยันการทำธุรกรรมแต่ละรายการด้วยตนเอง แต่ในรูปแบบบอท หากเกิดข้อผิดพลาดในตรรกะด้านหลัง ระบบอาจโอนเงินโดยอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัวก็เป็นได้

4. ช่องโหว่เฉพาะที่เปิดเผยในเอกสารของ Polycule

จากเนื้อหาของเอกสาร สามารถอนุมานได้ว่าเหตุการณ์ในครั้งนี้และข้อเสี่ยงที่อาจเกิดขึ้นในอนาคตส่วนใหญ่จะมุ่งเน้นไปที่ประเด็นต่อไปนี้:

อินเทอร์เฟซการส่งออกคีย์ส่วนตัว:เมนู `/wallet` อนุญาตให้ผู้ใช้ส่งออกคีย์ส่วนตัว ซึ่งแสดงให้เห็นว่าข้อมูลคีย์ที่ถูกเก็บไว้ในด้านหลังมีลักษณะเป็นข้อมูลที่สามารถย้อนกลับได้ ทันทีที่เกิด SQL injection, การเข้าถึงอินเทอร์เฟซโดยไม่ได้รับอนุญาต หรือการรั่วไหลของข้อมูลในไฟล์ล็อก ผู้โจมตีสามารถเรียกใช้งานฟังก์ชันการส่งออกโดยตรงได้ ซึ่งสถานการณ์นี้สอดคล้องกับเหตุการณ์ถูกโจมตีในครั้งนี้อย่างมาก

การวิเคราะห์ URL อาจทำให้เกิด SSRF ได้บอทกระตุ้นให้ผู้ใช้ส่งลิงก์ Polymarket เพื่อดูข้อมูลราคา หากการตรวจสอบข้อมูลที่ป้อนเข้ามาไม่เข้มงวด ผู้โจมตีสามารถปลอมลิงก์ที่ชี้ไปยัง metadata ของเครือข่ายภายในหรือบริการคลาวด์ ทำให้ระบบหลังบ้าน "ตกหลุมพราง" อย่างกระตือรือร้น ซึ่งอาจถูกขโมยข้อมูลประจำตัวหรือการตั้งค่าต่อไป

หลักการติดตามการซื้อขายแบบ Copy Trading:การซื้อขายแบบ Copy Trading หมายถึง บอทจะทำการซื้อขายตามกระเป๋าเงินเป้าหมายอย่างเป็นไปในเวลาเดียวกัน หากเหตุการณ์ที่ถูกติดตามสามารถถูกปลอมแปลง หรือระบบขาดการกรองความปลอดภัยสำหรับการทำธุรกรรมของเป้าหมาย ผู้ใช้ที่ทำการซื้อขายตามอาจถูกนำเข้าสู่สัญญาที่ไม่ดี ซึ่งอาจทำให้เงินถูกขังไว้หรือถูกดึงออกไปโดยตรงก็เป็นได้

ข้ามโซเชนและขั้นตอนการเปลี่ยนเหรียญอัตโนมัติ:กระบวนการแปลง SOL 2% เป็น POL แบบอัตโนมัตินั้นเกี่ยวข้องกับอัตราแลกเปลี่ยน สลิปป์ โอราเคิล และสิทธิ์ในการดำเนินการ หากการตรวจสอบพารามิเตอร์เหล่านี้ในโค้ดไม่เข้มงวดเพียงพอ แฮกเกอร์อาจเพิ่มความสูญเสียในการแลกเปลี่ยนหรือโอนงบประมาณ Gas ระหว่างการเชื่อมต่อข้ามเครือข่าย นอกจากนี้ หากการตรวจสอบรับรองผลการดำเนินการจาก deBridge ไม่เพียงพอ ก็อาจเกิดความเสี่ยงด้านการเติมเงินปลอมหรือการบันทึกเงินซ้ำได้เช่นกัน

5. ข้อควรระวังสำหรับทีมโครงการและผู้ใช้

สิ่งที่ทีมโครงการสามารถทำได้รวมถึง: จัดทำรายงานการทบทวนทางเทคนิคที่สมบูรณ์และโปร่งใสก่อนที่จะฟื้นฟูบริการ; ดำเนินการตรวจสอบเฉพาะด้านเกี่ยวกับการจัดเก็บคีย์ การแยกสิทธิ์ และการตรวจสอบค่าที่ป้อนเข้า; ทบทวนและปรับปรุงกระบวนการควบคุมการเข้าถึงเซิร์ฟเวอร์และขั้นตอนการเผยแพร่โค้ดใหม่; นำระบบยืนยันสองขั้นหรือระบบจำกัดวงเงินมาใช้กับการดำเนินการที่สำคัญ เพื่อลดความเสียหายที่อาจเกิดขึ้นต่อไป

ผู้ใช้ปลายทางควรจะควรคำนึงถึงจำนวนเงินที่มีอยู่ในบอท พร้อมทั้งถอนกำไรออกมาอย่างทันท่วงที รวมถึงเปิดใช้งานมาตรการป้องกันต่างๆ เช่น การยืนยันตัวตนแบบสองขั้นตอนใน Telegram และการจัดการอุปกรณ์แยกต่างหากให้เร็วที่สุดเท่าที่จะเป็นไปได้ จนกว่าฝ่ายโครงการจะให้คำมั่นสัญญาด้านความปลอดภัยที่ชัดเจน คุณอาจพิจารณาการรอคอยก่อน และหลีกเลี่ยงการเพิ่มเงินต้นเพิ่มเติม

หก. บทสรุป

เหตุการณ์ที่เกิดขึ้นกับ Polycule ทำให้เราตระหนักอีกครั้งว่า เมื่อประสบการณ์การแลกเปลี่ยนถูกย่อให้เหลือเพียงคำสั่งแชทเพียงประโยคเดียว ขั้นตอนการรักษาความปลอดภัยก็ต้องพัฒนาไปพร้อมกันด้วย บอทแลกเปลี่ยนข้อความของ Telegram จะยังคงเป็นทางเข้าที่ได้รับความนิยมสำหรับตลาดคาดการณ์และเหรียญ Meme ในระยะสั้น แต่พื้นที่นี้จะยังคงเป็นเป้าหมายของผู้โจมตีอย่างต่อเนื่อง เราแนะนำให้โครงการต่างๆ มองการสร้างความปลอดภัยเป็นส่วนหนึ่งของผลิตภัณฑ์ และเปิดเผยความคืบหน้าให้ผู้ใช้รับรู้ไปพร้อมกัน ผู้ใช้เองก็ควรระมัดระวัง อย่าคิดว่าการใช้คำสั่งแชทแบบรวดเร็วจะทำหน้าที่เป็นผู้จัดการสินทรัพย์ที่ปลอดภัยโดยไม่มีความเสี่ยง

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา