Yazar:ExVul GüvenliğiWeb3 Güvenlik Şirketi
1. Olay Özeti
13 Ocak 2026'da Polycule, resmi olarak Telegram işlem botunun hacklendiğini ve yaklaşık 230.000 dolarlık kullanıcı fonlarının çalındığını doğruladı. Takım, X'te hızlıca bir güncelleme yaptı: Bot hemen devre dışı bırakıldı, onarım yaması hızla uygulanmaya çalışıldı ve Polygon tarafında etkilenen kullanıcıların tazmin edileceğini söz verdi. Dün gece ve bugün yapılan birkaç duyuru, Telegram işlem botu yarışında güvenlik tartışmalarını artırdı.
İkinci olarak, Polycule nasıl çalışır?
Polycule'un hedefi çok net: Kullanıcılara, Telegram üzerinden Polymarket'te piyasa incelemesini, pozisyon yönetimini ve fon hareketlerini yapmaları için olanak tanımaktır. Ana modüller şunlardır:
Hesap Açma ve Panel:`/start`, otomatik olarak bir Polygon cüzdanı atar ve bakiyeyi gösterir, `/home` ve `/help` giriş ve komut açıklamaları sağlar.
Fiyat ve İşlem Yapma"/trending", "/search", Polymarket URL'sini doğrudan yapıştırarak pazar detaylarını çekebilirsiniz; Bot, piyasa/sınır emri, emir iptali ve grafik görüntüleme sağlar.
Cüzdan ve Bakiyeler:`/wallet`, varlıkların görüntülenmesi, fon çekme, POL/USDC değiştirimi ve özel anahtar dışa aktarma işlemlerini destekler; `/fund` fon yükleme sürecini rehberler.
Çapraz Zincir Köprüsü:Derin entegrasyondeBridgeSolana köprüsünden varlıklar alımına yardımcı olur ve varsayılan olarak işlem ücreti için SOL'un %2'sini POL'a çevirir.
Yüksek Seviye Özellikler: `/copytrade` komutu, kopyalama ticaretini açar ve yüzde, sabit miktar veya özel kurallara göre emir verebilirsiniz. Ayrıca, duraklatma, ters emir ve strateji paylaşımı gibi gelişmiş özellikler ayarlanabilir.
Polycule Trading Bot, kullanıcıyla iletişim kurar, komutları yorumlar, arka planda anahtarları yönetir, işlemleri imzalar ve zincir üstü olayları sürekli izler.
Kullanıcı `/start` komutunu girdikten sonra, arka planda otomatik olarak bir Polygon cüzdanı oluşturulur ve özel anahtar korunur. Ardından `/buy` (satın al), `/sell` (sat), `/positions` (pozisyonlar) gibi komutlar göndererek sorgulama, sipariş verme ve pozisyon yönetimi gibi işlemleri gerçekleştirebilirsiniz. Bot ayrıca Polymarket web bağlantılarını analiz edebilir ve doğrudan işlem girişi döndürebilir. Çapraz zincir fonları ise entegre edilerek yönetilir.deBridgeSOL'ü Polygon'a köprüleme özelliğini destekler ve varsayılan olarak 2% SOL'ü, ileri sürülen işlemler için POL olarak gas ücreti ödemek üzere değiştirir. Daha gelişmiş özellikler arasında Kopyalama İşlemleri, emir seviyeleri, hedef cüzdanların otomatik izlenmesi gibi işlevler yer alır. Bu özelliklerin çalışabilmesi için sunucunun sürekli açık kalması ve işlemler için sürekli olarak imzalama yapılması gerekir.
Telegram İşlem Botlarının Ortak Riskleri
Kolayca kaçınılamayan bazı güvenlik eksikliklerinin arkasında, pratik bir sohbet yöntemiyle etkileşim vardır:
İlk olarak, neredeyse tüm botlar kullanıcı özel anahtarlarını kendi sunucularında saklar ve işlemler doğrudan arka uç tarafından imzalanır. Bu, sunucuların kırılması ya da verilerin运维 (yönetim) hatasıyla sızdırılması durumunda saldırganların özel anahtarları topluca çıkartıp tüm kullanıcıların varlıklarını tek seferde çalabileceği anlamına gelir. İkinci olarak, kimlik doğrulama işlemi doğrudan Telegram hesabına dayanır. Eğer kullanıcı SIM kartı hırsızlığına veya cihaz kaybı gibi bir durumla karşılaşırsa, saldırganlar mnemonic (hatırlatıcı) kelimeleri bile bilmeksizin bot hesabını kontrol edebilir. Son olarak, yerel bir onay penceresi yoktur - geleneksel cüzdanlarda her işlem için kullanıcı tarafından manuel onay gerekirken, bot modunda arka uç mantığı bir hata içeriyorsa sistem, kullanıcı farkında olmadan parayı otomatik olarak transfer edebilir.
Dört, Polycule belgeleri tarafından ifşa edilen özel saldırı yüzeyleri
Belgelerin içeriği göz önünde bulundurulduğunda, bu olay ve gelecekteki potansiyel risklerin çoğunlukla şu noktalarda toplanacağı tahmin edilebilir:
Özel anahtar dışa aktarma arayüzü:`/wallet` menüsü, kullanıcıların özel anahtarlarını dışa aktarabilmesine izin verdiğinden, arka plandaki verilerin tersine çevrilebilir anahtar verileri olduğu anlaşılmaktadır. SQL enjeksiyonu, yetkisiz arayüzler veya günlük veri sızıntısı gibi bir durum meydana geldiğinde saldırganlar doğrudan dışa aktarma işlevini çağırabilirler. Bu senaryo, bu kez yaşanan hırsızlıkla oldukça örtüşmektedir.
URL çözümlemesi, SSRF'ye neden olabilir:Robot, kullanıcıların Polymarket bağlantılarını almak için teşvik eder. Girdi dikkatli doğrulanmazsa, saldırganlar, arka plandaki sistemin "tuzaklara düşmesine" neden olacak, iç ağ veya bulut hizmeti meta verilerine yönlendirilen sahte bağlantılar oluşturabilir. Bu da kimlik bilgilerinin veya yapılandırmaların çalınmasına yol açabilir.
Takip Edilen İşlem (Copy Trading) Mantığı:Kopyalama ticareti, robotun hedef cüzdana eşzamanlı işlemleri takip ederek onu takip etmesi anlamına gelir. Dinlenen olaylar sahte olabilir veya sistemde hedef işlemler için güvenlik süzgeci yoksa, takip eden kullanıcılar kötü niyetli sözleşmelere yönlendirilebilir ve fonlar kilitleyebilir veya doğrudan çalınabilir.
Çapraz zincir ve otomatik para değiştirme aşaması:%2 SOL'u otomatik olarak POL'ye dönüştürme işlemi, döviz kuru, slippage (kayma), orakullar (akıllı sözleşmeler) ve yürütme izinleri gibi unsurları içerir. Bu parametrelerin kodda sıkı şekilde doğrulanmaması, bir saldırganın köprüleme sırasında döviz kaybını artırmasına veya gaz bütçesini yönlendirmesine olanak tanıyabilir. Ayrıca, deBridge doğrulama sonuçlarının doğrulanmasında eksiklikler olması, sahte para yatırma veya tekrar eden kayıtlar gibi risklere neden olabilir.
5. Proje Takımına ve Kullanıcılara Duyurular
Proje ekibi yapabilecekleri şeylerİçerik: Hizmetin kurtarılması öncesi eksiksiz ve şeffaf bir teknik inceleme raporu teslimi; anahtarların saklanması, izinlerin ayrılması ve girdi doğrulaması konularında özel bir denetim; sunucu erişim kontrolü ve kod dağıtım süreçlerinin yeniden gözden geçirilmesi; kritik işlemler için ikinci onay veya limit mekanizmaları eklenecek ve zararın daha da artması önlenmeye çalışılacaktır.
Son kullanıcılar iseRobotikteki fon miktarını kontrol etmeyi, karları zamanında çekmeyi ve Telegram'da iki faktörlü doğrulamayı ve bağımsız cihaz yönetimi gibi koruma önlemlerini öncelikli olarak etkinleştirmeyi düşünün. Proje ekibi net bir güvenlik taahhüdü vermeden önce beklemek ve teminat eklememekten kaçının.
Altı. Son Notlar
Polycule olayı, işlem deneyimi bir sohbet emriyle özümsendiğinde güvenlik önlemlerinin de eşzamanlı olarak geliştirilmesi gerektiğini bir kez daha hatırlatıyor. Tahmin pazarları ve meme coinler için Telegram işlem botları kısa vadeli olarak hâlâ popüler giriş noktaları olacak, ancak bu alanlar saldırılar için avlanacak yerler olarak da devam edecek. Projelerin güvenlik inşasını ürünün bir parçası olarak görmeleri ve kullanıcılarla ilerlemeleri konusunda şeffaf olmalarını öneriyoruz; kullanıcıların ise sohbet kısayollarını riskten uzak varlık yöneticisi olarak görmemeleri ve dikkatli olmaları gerekir.