المؤلف: شركة ExVul Security، شركة أمن Web3
أولاً، ملخص الحدث
في 13 يناير 2026، أكد فريق Polycule رسميًا تعرض روبوت التداول الخاص بهم على Telegram لهجوم من قبل قراصنة، حيث تم سرقة حوالي 230,000 دولار من أموال المستخدمين. قام الفريق بسرعة بتحديث على X: حيث تم إيقاف الروبوت على الفور، وتم دفع تصحيح سريع، ووعدوا بتعويض المستخدمين المتأثرين على جانب Polygon. من خلال عدة إعلانات منذ الليلة الماضية وحتى اليوم، استمرت مناقشات أمان روبوتات التداول على Telegram في التصاعد.
ثانيًا، كيف يعمل Polycule
تحديد موقع Polycule واضح جدًا: يتيح للمستخدمين إتمام تصفح السوق، إدارة المراكز، وتنسيق الأموال على Polymarket عبر Telegram. تشمل الوحدات الرئيسية:
فتح الحساب ولوحة التحكم: /start يخصص تلقائيًا محفظة Polygon ويعرض الرصيد، و /home، /help توفر مداخل وتعليمات للأوامر.
السوق والتداول: /trending، /search، ولصق رابط Polymarket مباشرة يمكنها سحب تفاصيل السوق؛ يوفر الروبوت أوامر السوق/الحد، إلغاء الأوامر، وعرض الرسوم البيانية.
المحفظة والأموال: /wallet يدعم عرض الأصول، سحب الأموال، تبادل POL/USDC، وتصدير المفتاح الخاص؛ /fund يوجه لعملية الشحن.
الجسر العابر للسلاسل: مدمج بشكل عميق مع deBridge، لمساعدة المستخدمين على جسر الأصول من Solana، مع خصم افتراضي بنسبة 2% من SOL لتحويله إلى POL لاستخدامه في الغاز.
وظائف متقدمة: /copytrade يفتح واجهة نسخ التداول، يمكن اتباع الصفقات بنسبة مئوية، مبلغ ثابت، أو قواعد مخصصة، كما يمكن إعداد إيقاف، عكس النسخ، مشاركة الاستراتيجيات، وغيرها من القدرات الموسعة.
روبوت تداول Polycule مسؤول عن التفاعل مع المستخدمين، تحليل الأوامر، إدارة المفاتيح في الخلفية، توقيع المعاملات، ومراقبة الأحداث على السلسلة بشكل مستمر.
عند إدخال المستخدم /start، يتم تلقائيًا إنشاء محفظة Polygon وتخزين المفتاح الخاص، ثم يمكنه الاستمرار في إرسال أوامر مثل /buy، /sell، /positions لإتمام عمليات التحقق، الطلب، وإدارة المراكز. يمكن للروبوت أيضًا تحليل روابط صفحات Polymarket والرد مباشرة على مدخلات التداول. أما الأموال العابرة للسلاسل فهي تعتمد على دمج deBridge، لدعم جسر SOL إلى Polygon، مع خصم افتراضي بنسبة 2% من SOL لتحويله إلى POL لدفع رسوم الغاز في التداولات اللاحقة. تشمل الوظائف المتقدمة نسخ التداول، أوامر الحد، والمراقبة التلقائية للمحفظة المستهدفة، وتتطلب خادمًا متصلًا بشكل دائم وتوقيع معاملات مستمر.
ثالثًا، المخاطر العامة لروبوتات التداول على Telegram
وراء التفاعل السهل والدردشات، توجد عدة نقاط ضعف أمنية يصعب تجنبها:
أولًا، تقريبًا جميع الروبوتات تخزن المفاتيح الخاصة للمستخدمين على خوادمها، وتقوم بالتوقيع على المعاملات نيابة عن المستخدمين. هذا يعني أنه في حال تم اختراق الخادم أو تسرب البيانات بسبب خطأ في الصيانة، يمكن للمهاجمين تصدير المفاتيح الخاصة بشكل جماعي وسرقة أموال جميع المستخدمين دفعة واحدة. ثانيًا، تعتمد عملية التوثيق على حساب Telegram نفسه، فإذا تعرض المستخدم لسرقة بطاقة SIM أو فقد الجهاز، يمكن للمهاجمين السيطرة على حساب الروبوت دون الحاجة إلى معرفة عبارة الاسترداد. وأخيرًا، لا توجد نافذة تأكيد محلية لكل عملية — فالمحافظ التقليدية تتطلب تأكيد المستخدم لكل معاملة، بينما في وضع الروبوت، إذا حدث خلل في المنطق الخلفي، قد يتم تحويل الأموال تلقائيًا دون علم المستخدم.
رابعًا، التحليل من وثائق Polycule يكشف عن نقاط هجوم خاصة
بالنظر إلى محتوى الوثائق، يمكن الافتراض أن الحدث الحالي والمخاطر المحتملة في المستقبل تتركز في النقاط التالية:
واجهة تصدير المفتاح الخاص: /wallet تتيح للمستخدمين تصدير المفاتيح الخاصة، مما يدل على أن البيانات المخزنة في الخلفية قابلة للاسترجاع. إذا حدث هجوم SQL injection، أو واجهة غير مصرح بها، أو تسرب سجلات، يمكن للمهاجمين استدعاء وظيفة التصدير مباشرة، وهو سيناريو يتطابق بشكل كبير مع عملية السرقة الحالية.
احتمالية استغلال URL في هجمات SSRF: يشجع الروبوت المستخدمين على تقديم روابط Polymarket للحصول على السوق. إذا لم يتم التحقق بشكل صارم من المدخلات، يمكن للمهاجمين تزوير روابط تشير إلى الشبكة الداخلية أو بيانات وصفية للخدمات السحابية، مما يسمح للخلفية ب “الوقوع في الفخ”، وسرقة بيانات الاعتماد أو الإعدادات.
منطق مراقبة نسخ التداول: النسخ يعني أن الروبوت يتابع عمليات المحفظة المستهدفة. إذا تم تزوير الأحداث المراقبة، أو كانت هناك نقص في التحقق الأمني من المعاملات المستهدفة، قد يُجبر المستخدمون على التفاعل مع عقود خبيثة، مما يؤدي إلى حجز الأموال أو سرقتها مباشرة.
الجسور العبرية وتبادل العملات التلقائي: عملية تحويل 2% من SOL إلى POL تتعلق بأسعار الصرف، والانزلاق السعري، والبيانات من أوثوقي، وصلاحيات التنفيذ. إذا لم تكن هناك مراجعة صارمة لهذه المعايير في الكود، قد يستغل المهاجمون ذلك لزيادة خسائر التحويل أو سرقة ميزانية الغاز. بالإضافة إلى ذلك، إذا كانت هناك ثغرات في التحقق من استلام deBridge، قد يؤدي ذلك إلى عمليات شحن زائفة أو تكرار الإدخالات.
خامسًا، تذكيرات للمشروع والمستخدمين
ما يمكن أن يفعله فريق المشروع يشمل: تقديم مراجعة تقنية كاملة وشفافة قبل استئناف الخدمة؛ تدقيق خاص على تخزين المفاتيح، عزل الصلاحيات، والتحقق من المدخلات؛ إعادة تنظيم التحكم في الوصول إلى الخوادم وعمليات إصدار الكود؛ وإضافة آليات تأكيد ثانوية أو حدود على العمليات الحرجة لتقليل الضرر المحتمل.
أما المستخدمون النهائيون، فيجب عليهم التحكم في حجم الأموال الموجودة في الروبوت، وسحب الأرباح بشكل منتظم، وتفعيل التحقق الثنائي على Telegram، وإدارة الأجهزة بشكل مستقل، واعتماد تدابير حماية أخرى. قبل أن تقدم المشاريع وعود أمان واضحة، من الأفضل الانتظار وتجنب إيداع المزيد من الأموال.
سادسًا، الخاتمة
حادثة Polycule تذكرنا مرة أخرى: عندما يتم ضغط تجربة التداول في أمر دردشة واحد، يجب أن تتواكب إجراءات الأمان. لا تزال روبوتات التداول على Telegram في المدى القصير بوابة شعبية للسوق التنبئي والعملات الميم، لكن هذا المجال سيظل هدفًا للمهاجمين. نوصي المشاريع بأن يجعلوا بناء الأمان جزءًا من المنتج، وأن يعلنوا عن التقدم بشكل شفاف للمستخدمين؛ كما ينبغي للمستخدمين أن يظلوا يقظين، وألا يثقوا بشكل أعمى في الاختصارات الدردشية كمدير أصول بدون مخاطر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
مؤسس Believe: اعتقال بنيامين باستيرناك بتهم القتل العمد من الدرجة الثانية والاعتداء
بوابة الأخبار، 23 أبريل — وفقًا للسجلات العامة لمحكمة نيويورك الجنائية، تم اعتقال بنيامين باستيرناك، مؤسس Believe، بتهم القتل العمد من الدرجة الثانية والاعتداء، مع تحديد موعد حضور في المحكمة في 11 يونيو 2026.
وكان قد تم توجيه اتهامات إلى باستيرناك سابقًا بالاشتراك في مخطط خروج رمزي أدى إلى خسائر بملايين الدولارات.
GateNewsمنذ 1 س
ZachXBT 警惕:Bitcoin Depot 自动取款机对比特币溢价超过 44%
ZachXBT 警告比特币兑换店(Bitcoin Depot)自动取款机会收取高额溢价——$25k 以 108k 美元/比特币计价的 $75k 法币价格,而非 (市场 )大约 44%,导致在 0.232 BTC 上约损失 7.5k 美元;同时还指出发生了 326 万美元的安全漏洞。
本文概述了 ZachXBT 对 Bitcoin Depot 定价做法和近期安全漏洞的警告,强调由于费率被抬高以及安全疏漏而给用户带来的风险。
GateNewsمنذ 17 س
محتالون يتنكرون كسلطات إيرانية يطالبون بالبيتكوين وUSDT كرسوم عبور عبر مضيق هرمز؛ تم استهداف سفينة واحدة على الأقل بعد الدفع
رسالة أخبار البوابة، 22 أبريل — المحتالون الذين يتنكرون كسلطات إيرانية يطالبون بدفعات بالعملات المشفرة بالبيتكوين أو USDT من شركات الشحن مقابل المرور الآمن عبر مضيق هرمز، وفقًا لـ CoinDesk. وقد أصدرت شركة يونانية مختصة بالمخاطر البحرية، Marisks، تحذيرًا بأن
GateNews04-22 01:53
قراصنة Kelp DAO تنقل أكثر من 106K ETH خلال 20 ساعة وتحول 34.5K ETH إلى BTC عبر THORChain
رسالة أخبار بوابة، 22 أبريل — وفقًا لبيانات السلسلة من Arkham، قام مشتبه به بقرصنة Kelp DAO بتحويل 106,466 ETH إلى محافظ خارجية خلال الساعات الـ20 الماضية. قام المهاجم بتوزيع الأموال على عناوين متعددة، وهي تقنية شائعة لغسيل الأموال تُستخدم لإخفاء مسارات المعاملات.
GateNews04-22 01:02
كيبلداو $290M استغلال منسوب إلى مجموعة لازاروس في كوريا الشمالية
نسب LayerZero $290 مليون دولار من اختراقٍ استغل إعداد rsETH الخاص بالربط بين السلاسل لدى KelpDAO إلى مجموعة لازاروس التابعة لكوريا الشمالية في 18 أبريل، واصفًا المهاجم بأنه «جهة فاعلة حكومية شديدة التخصص». وفقًا لـ LayerZero، كانت الحادثة محصورة بإعداد rsETH الخاص بـ KelpDAO ولم تنتقل إلى غيره
CryptoFrontier04-21 11:11
المحتالون يتقمصون دور السلطات الإيرانية لابتزاز مالكي السفن المتعثرين بالبيتكوين وتيثر
رسالة أخبار بوابة، 21 أبريل — أرسل جهات فاعلة مجهولة رسائل احتيالية إلى شركات الشحن بشأن سفن متوقفة غرب مضيق هرمز، مدعية أنها سلطات إيرانية وتعرض ممرًا آمنًا مقابل رسوم تُدفع عبر بيتكوين أو تيثر، وفقًا لشركة المخاطر اليونانية MARISKS. The messa
GateNews04-21 07:41
