Автор:ExVul SecurityКомпанія з безпеки Web3
1. Коротка довідка про подію
13 січня 2026 року Polycule офіційно підтвердила, що Telegram-бот для торгів став жертвою хакерської атаки, у результаті якої було вкрадено приблизно 230 000 доларів від користувачів. Команда швидко оновила інформацію в X: бот був відключений, швидко випущено патч для виправлення, і обіцялося, що користувачів Polygon, які виявилися залученими, компенсують. Кілька оголошень за останні години вночі та сьогодні вночі підсилили дебати про безпеку ботів для торгів у Telegram.
2. Як працює полікуля
Полікуль має чітке позиціонування: дозволити користувачам переглядати ринки, керувати позиціями та здійснювати фінансові операції на Polymarket прямо в Telegram. Основні модулі включають:
Відкриття облікового запису та панель кер`/start` автоматично виділить гаманець Polygon і відобразить баланс, `/home`, `/help` нададуть доступ та інструкції.
Ринок та торгівля`/trending`, `/search`, а також просто вставити URL Polymarket — усі ці способи дозволять отримати деталі ринку; бот дозволяє робити ринкові/лімітні замовлення, скасовувати замовлення та переглядати діаграми.
Гаманець і кошти:`/wallet` підтримує перегляд майна, зняття коштів, обмін POL/USDC, експорт приватного ключа; `/fund` надає інструкції щодо поповнення.
Міжланковий міст:Глибока інтеграціdeBridgeдопомагає користувачам переносити активи через міст Solana, автоматично збираючи 2% SOL, які конвертуються в POL для оплати комісії.
Підвищений функціонал: `/copytrade` — відкриває інтерфейс копіювання торгівки, дозволяє відстежувати замовлення за відсотками, за фіксованою сумою або власними правилами, а також налаштовувати паузу, зворотне відстежування замовлень, спільний доступ до стратегій тощо.
Polycule Trading Bot веде діалог з користувачем, аналізує команди, керує ключами в фоновому режимі, підписує транзакції та постійно стежить за подіями в блокчейні.
Після введення користувачем команди `/start`, у фоновому режимі автоматично генерується гаманець Polygon та зберігається приватний ключ. Після цього можна продовжити виконання команд `/buy`, `/sell`, `/positions` тощо, щоб виконувати операції перевірки ринку, розміщення замовлень, керування позиціями. Робот також може аналізувати посилання з сайту Polymarket і безпосередньо повертати точку входу для торгівлі. Для перекладу коштів між мережами використовується підключенняdeBridgeПідтримується міст для перекидання SOL у Polygon, при цьому за замовчуванням 2% від суми витрачається на купівлю POL для оплати комісій у майбутніх транзакціях. Більш розширені функції, такі як копіювання торгів, лімітні замовлення, автоматичний моніторинг цільових гаманців, вимагають тривалого підключення сервера та постійного підписання транзакцій.
3. Спільні ризики телеграм-ботів для торгівки
Під зручним чат-інтерфейсом приховані кілька важких для уникнення безпекових недоліків:
Перш за все, майже всі боти зберігають приватні ключі користувачів на власних серверах, а транзакції підписуються безпосередньо в бекенді. Це означає, що як тільки сервер буде взломаний або відбудеться витік даних через неправильну роботу з обліковими записами, зловмисники зможуть масово експортовувати приватні ключі і вкрадуть кошти всіх користувачів за один раз. Друга проблема — автентифікація залежить від самого Telegram-аккаунту. Якщо користувач стає жертвою викрадення SIM-картки або втрачає пристрій, зловмиснику не потрібно знати фразу-восстановлення, щоб заволодіти обліковим записом бота. І, нарешті, відсутній локальний підпис, який підтверджується користувачем — у традиційних гаманців кожна транзакція вимагає особистого підтвердження, тоді як у випадку з ботами, якщо виникає помилка в логіці бекенду, система може автоматично перевести кошти без відома користувача.
4. Унікальні атакувальні вектори, виявлені в документах Polycule
Враховуючи зміст документа, можна припустити, що ця подія та майбутні потенційні ризики в основному зосереджені навколо наступних аспектів:
Інтерфейс експорту приватного ключа:Меню `/wallet` дозволяє користувачам експортувати приватні ключі, що означає, що на бекенді зберігаються зворотні ключі. Якщо виникає SQL-ін'єкція, неавторизовані інтерфейси або витік журналів, зловмисник може безпосередньо викликати функцію експорту, що відповідає сценарію цього випадку крадіжки.
Можливий SSRF при аналізі URL:Робот змушує користувачів надсилати посилання на Polymarket для отримання ринкової статистики. Якщо вхідні дані не перевіряються настільки ретельно, як це потрібно, зловмисники можуть створити підфабровані посилання, які вказують на метадані внутрішньої мережі або хмарних послуг, щоб заставити сервер виконувати небажані дії, що призведе до крадіжки облікових записів або конфігурацій.
Логіка моніторингу торгівки з копіюванням:Копіювання торгів означає, що робот буде виконувати операції, синхронізовані з цільовим гаманцем. Якщо події, які відстежуються, можуть бути підроблені, або система не має безпечного фільтра для цільових операцій, користувачі, що копіюють, можуть потрапити в шахрайські контракти, їхні кошти можуть бути заблоковані або витрачені безпосередньо.
Міжланковість та автоматична заміна монет:Процес автоматичного обміну 2% SOL на POL включає в себе валютні курси, прослизання, оракулів та права виконання. Якщо перевірка цих параметрів у коді недостатньо тісна, зловмисники можуть під час моста збільшити збитки від обміну або перевести бюджет Gas. Крім того, якщо перевірка реплік deBridge недостатньо ретельна, це може призвести до ризику помилкового або подвійного зачислення коштів.
5. Попередження для команди проекту та користувачів
Що може зробити команда проектуВключає: доставити повний і прозорий технічний аналіз перед відновленням послуги; провести спеціальну перевірку зберігання ключів, ізоляції прав, перевірки вхідних даних; переглянути контроль доступу до серверів і процес видачі коду; ввести підтвердження або обмеження для ключових операцій, щоб знизити подальші втрати.
Кінцевий користувач маєВрахуйте обсяг коштів у роботі, своєчасно здійснюйте виведення прибутку, а також пріоритетно ввімкніть заходи захисту, такі як двофакторна автентифікація в Telegram, керування незалежними пристроями тощо. Поки команда проекту не зробить чіткі зобов'язання щодо безпеки, краще зачекайте, щоб уникнути додавання додаткових коштів.
VI. Примітки після тексту
Інцидент з Polycule нагадує, що коли торгівельний досвід стискається до однієї команди чату, безпека також має бути синхронізована. Telegram-боти для торгівельних операцій залишаться популярним входом для ринків прогнозів та мем-токенів у короткостроковій перспективі, але ця область також продовжуватиме бути полем битви для атак. Ми рекомендуємо проектам вважати побудову безпеки частиною продукту, одночасно публікуючи прогрес для користувачів; користувачі також мають бути обережними, не вважаючи швидкі команди чату безпечними менеджерами активів.