Tác giả:An ninh ExVulCông ty an ninh Web3
I. Tóm tắt sự kiện
Vào ngày 13 tháng 1 năm 2026, Polycule chính thức xác nhận rằng bot giao dịch Telegram của họ đã bị tin tặc tấn công, làm mất khoảng 230.000 USD tiền người dùng. Đội ngũ đã nhanh chóng cập nhật thông tin trên X: bot lập tức bị gỡ xuống, các bản vá sửa lỗi được triển khai gấp rút, và họ cam kết sẽ bồi thường cho các người dùng bị ảnh hưởng trên mạng Polygon. Những thông báo qua nhiều vòng từ tối hôm qua đến hôm nay đã làm cho cuộc thảo luận về an toàn trong lĩnh vực bot giao dịch Telegram ngày càng sôi nổi hơn.
Hai, cách hoạt động của Polycule
Polycule có định hướng rất rõ ràng: cho phép người dùng xem thị trường, quản lý vị thế và điều phối vốn trên Polymarket ngay trong Telegram. Các mô-đun chính bao gồm:
Mở tài khoản và bảng điều khiển:`/start` sẽ tự động phân bổ ví Polygon và hiển thị số dư, `/home`, `/help` cung cấp đường dẫn và hướng dẫn sử dụng.
Thị trường và Giao dịchCác lệnh như `/trending`, `/search`, hoặc dán trực tiếp URL của Polymarket đều có thể lấy thông tin chi tiết về thị trường; bot cung cấp các chức năng đặt lệnh theo giá thị trường/giá giới hạn, hủy đơn hàng và xem biểu đồ.
Ví và tiền vốn:`/wallet` hỗ trợ xem tài sản, rút tiền, chuyển đổi POL/USDC, xuất khóa bí mật; `/fund` hướng dẫn quy trình nạp tiền.
Cầu nối chuỗi chéo:Tích hợp sâudeBridgegiúp người dùng chuyển tài sản vào Solana và tự động trừ 2% SOL để đổi thành POL dùng cho phí giao dịch.
Tính năng cao cấp: Lệnh `/copytrade` mở giao diện giao dịch sao chép, cho phép sao chép lệnh theo tỷ lệ phần trăm, số tiền cố định hoặc theo quy tắc tùy chỉnh, đồng thời có thể thiết lập tạm dừng, sao chép lệnh ngược, chia sẻ chiến lược và các tính năng mở rộng khác.
Bot giao dịch Polycule chịu trách nhiệm trò chuyện với người dùng, phân tích các lệnh, đồng thời quản lý khóa bí mật, ký giao dịch và liên tục theo dõi các sự kiện trên chuỗi trong nền.
Sau khi người dùng nhập `/start`, hệ thống sẽ tự động tạo ví Polygon và lưu giữ khóa bí mật, sau đó người dùng có thể tiếp tục gửi các lệnh như `/buy`, `/sell`, `/positions` để tra cứu giá, đặt lệnh, quản lý vị thế giao dịch. Bot còn có thể phân tích các đường link từ Polymarket, trực tiếp trả về cửa hàng giao dịch. Việc chuyển tiền xuyên chuỗi sẽ được thực hiện thông qua việc tích hợpdeBridgeHỗ trợ cầu chuyển SOL sang Polygon, và mặc định rút 2% SOL để đổi lấy POL nhằm thanh toán phí Gas cho các giao dịch tiếp theo. Các tính năng cao cấp hơn bao gồm giao dịch sao chép, lệnh giới hạn, giám sát tự động ví mục tiêu, v.v., yêu cầu máy chủ phải hoạt động liên tục và ký thay giao dịch một cách liên tục.
Ba, Các rủi ro chung của bot giao dịch Telegram
Phía sau giao tiếp trò chuyện tiện lợi là một vài điểm yếu về an toàn khó có thể tránh khỏi:
Thứ nhất, hầu như tất cả các bot đều lưu trữ khóa bí mật của người dùng trên máy chủ của họ, và các giao dịch được ký trực tiếp bởi hệ thống phía sau. Điều này có nghĩa là, nếu máy chủ bị xâm nhập hoặc dữ liệu bị rò rỉ do quản lý vận hành không cẩn trọng, tin tặc có thể xuất hàng loạt khóa bí mật và rút sạch tài sản của tất cả người dùng trong một lần. Thứ hai, việc xác thực phụ thuộc vào tài khoản Telegram, nếu người dùng bị đánh cắp SIM hoặc mất thiết bị, tin tặc có thể kiểm soát tài khoản bot mà không cần biết cụm từ gợi nhớ. Thứ ba, không có bước xác nhận bằng hộp thoại cục bộ - ví truyền thống yêu cầu người dùng xác nhận từng giao dịch, nhưng ở chế độ bot, chỉ cần logic phía sau có lỗi, hệ thống có thể tự động chuyển tiền mà người dùng hoàn toàn không hay biết.
4. Các điểm yếu đặc trưng được tài liệu Polycule tiết lộ
Kết hợp nội dung tài liệu, có thể suy đoán rằng sự kiện lần này và các rủi ro tiềm tàng trong tương lai chủ yếu tập trung vào các điểm sau:
Giao diện xuất khóa riêng:Thực đơn `/wallet` cho phép người dùng xuất ra khóa riêng, điều này cho thấy dữ liệu khóa được lưu trữ ở phía sau là có thể đảo ngược. Một khi xảy ra các lỗ hổng như SQL injection (điều khiển SQL), giao diện không được ủy quyền hoặc rò rỉ nhật ký, tin tặc có thể trực tiếp gọi chức năng xuất này, và tình huống này rất phù hợp với vụ việc lần này.
Phân tích URL có thể kích hoạt SSRF:Robot khuyến khích người dùng cung cấp liên kết từ Polymarket để lấy dữ liệu thị trường. Nếu đầu vào không được kiểm tra kỹ lưỡng, người tấn công có thể tạo ra các liên kết giả mạo trỏ đến metadata của mạng nội bộ hoặc dịch vụ đám mây, khiến hệ thống phía sau chủ động "sập bẫy", từ đó đánh cắp thông tin xác thực hoặc cấu hình.
Lập trình sao chép giao dịch (Copy Trading) có logic giám sát như sau:Giao dịch sao chép có nghĩa là robot sẽ thực hiện các thao tác theo dõi và đồng bộ với ví mục tiêu. Nếu các sự kiện được theo dõi có thể bị giả mạo, hoặc hệ thống thiếu cơ chế lọc an toàn cho các giao dịch mục tiêu, người dùng sao chép có thể bị dẫn vào hợp đồng độc hại, dẫn đến việc vốn bị khóa hoặc thậm chí bị rút trực tiếp.
Giao tiếp liên chuỗi và quy trình đổi tiền tự động:Quy trình tự động chuyển đổi 2% SOL thành POL liên quan đến tỷ giá hối đoái, độ trượt giá, các thiết bị đo giá (oracle) và quyền thực thi. Nếu việc kiểm tra các tham số này trong mã nguồn không được chặt chẽ, tin tặc có thể khai thác để phóng đại tổn thất từ việc chuyển đổi hoặc chuyển hướng ngân sách Gas trong quá trình kết nối cầu (bridge). Ngoài ra, nếu việc xác minh biên lai từ deBridge không đầy đủ, cũng có thể dẫn đến rủi ro nạp tiền giả hoặc ghi nhận giao dịch trùng lặp.
Năm. Nhắc nhở đối với đội ngũ dự án và người dùng
Điều mà đội nhóm dự án có thể làm đượcBao gồm: Giao nộp một bản phân tích kỹ thuật toàn diện và minh bạch trước khi phục hồi dịch vụ; tiến hành kiểm toán chuyên sâu về lưu trữ khóa, phân tách quyền hạn và xác thực đầu vào; sắp xếp lại lại quy trình kiểm soát truy cập máy chủ và quy trình phát hành mã nguồn; giới thiệu cơ chế xác nhận lần hai hoặc giới hạn số tiền cho các thao tác quan trọng, nhằm giảm thiểu thiệt hại tiềm tàng.
Người dùng cuối cùng thì nênHãy cân nhắc kiểm soát quy mô vốn trong robot, kịp thời rút lợi nhuận, đồng thời ưu tiên kích hoạt các biện pháp bảo vệ như xác thực hai lớp của Telegram, quản lý thiết bị độc lập. Trước khi bên dự án đưa ra cam kết an toàn rõ ràng, bạn nên cân nhắc quan sát trước, tránh tiếp tục bổ sung vốn.
Sáu, Hậu ký
Vụ việc liên quan đến Polycule lại một lần nữa nhắc nhở rằng: khi trải nghiệm giao dịch bị rút gọn thành một lệnh trò chuyện, các biện pháp an toàn cũng cần được nâng cấp đồng bộ. Trong thời gian ngắn, các bot giao dịch trên Telegram vẫn sẽ là cổng vào phổ biến cho thị trường dự đoán và tiền Meme, nhưng lĩnh vực này cũng sẽ tiếp tục trở thành nơi săn mồi của các đối tượng tấn công. Chúng tôi khuyên các dự án nên xem việc xây dựng an toàn là một phần của sản phẩm, đồng thời công khai tiến độ cho người dùng; người dùng cũng nên giữ cảnh giác, không xem các phím tắt trò chuyện là người quản lý tài sản không rủi ro.