作者:ExVul Security,Web3安全公司
一、事件速记
2026 年 1 月 13 日,Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击,约 23 万美元用户资金被盗。团队在 X 上快速更新:机器人随即下线,修复补丁火速推进,并承诺 Polygon 端的受影响用户将获赔付。从昨晚到今天的几轮通告,让 Telegram 交易机器人赛道的安全讨论持续升温。
二、Polycule 如何运转
Polycule 的定位很清晰:让用户在 Telegram 完成 Polymarket 上的市场浏览、仓位管理与资金调度。主要模块包括:
开户与面板:/start 会自动分配 Polygon 钱包并展示余额,/home、/help 提供入口与指令说明。
行情与交易:/trending、/search、直接粘贴 Polymarket URL 都能拉取市场详情;机器人提供市价/限价下单、订单取消与图表查看。
钱包与资金:/wallet 支持查看资产、提取资金、POL/USDC 互换、导出私钥;/fund 指导充值流程。
跨链桥接:深度集成deBridge,帮助用户从 Solana 桥入资产,并默认扣取 2% SOL 兑换成 POL 用于 Gas。
高级功能: /copytrade 打开复制交易界面,可按百分比、固定额度或自定义规则跟单,还能设置暂停、反向跟单、策略分享等扩展能力。
Polycule Trading Bot 负责与用户对话、解析指令,也在后台管理密钥、签名交易并持续监听链上事件。
用户输入 /start 后,后台自动生成 Polygon 钱包并保管私钥,随后可以继续发送 /buy、/sell、/positions 等命令完成查盘、下单、管理仓位等操作。机器人还能解析 Polymarket 的网页链接,直接返回交易入口。跨链资金则靠接入deBridge,支持把 SOL 桥接到 Polygon,并且默认抽出 2% SOL 换成 POL 供后续交易支付 Gas。更高级的功能包括 Copy Trading、限价单、自动监控目标钱包等,需要服务端长时间在线并持续代签交易。
三、Telegram 交易机器人的共性风险
便利的聊天式交互背后,是几个很难规避的安全短板:
首先,几乎所有机器人都会把用户私钥放在自己的服务器上,交易由后台直接代签。这意味着一旦服务器被攻破或者运维不慎泄露数据,攻击者就能批量导出私钥,把所有用户的资金一次性卷走。其次,认证依赖 Telegram 账号本身,若用户遭遇 SIM 卡劫持或设备丢失,攻击者无需掌握助记词就能控制机器人账户。最后,没有本地弹窗确认这一步——传统钱包每笔交易都需要用户亲自确认,而在机器人模式下,只要后台逻辑出了纰漏,系统就可能在用户毫不知情的情况下自动把钱转走。
四、Polycule 文档透露的特有攻面
结合文档内容,可以推测本次事件和未来潜在风险主要集中在以下几点:
私钥导出接口:/wallet 菜单允许用户导出私钥,说明后台保存的是可逆密钥数据。一旦存在 SQL 注入、未授权接口或日志泄漏,攻击者便可直接调用导出功能,场景与此次被盗高度吻合。
**URL 解析可能触发 SSRF:**机器人鼓励用户提交 Polymarket 链接获取行情。如果输入未经严密校验,攻击者可以伪造指向内网或云服务元数据的链接,让后台主动“踩坑”,进一步窃取凭证或配置。
**Copy Trading 的监听逻辑:**复制交易意味着机器人会跟随目标钱包同步操作。如果监听到的事件可以被伪造,或者系统缺乏对目标交易的安全过滤,跟单用户就有可能被带入恶意合约,资金被锁定甚至被直接抽走。
**跨链与自动换币环节:**自动把 2% SOL 换成 POL 的流程涉及汇率、滑点、预言机和执行权限。如果代码中对这些参数的校验不严密,黑客可能在桥接时放大换汇损失或转移 Gas 预算。另外,一旦对 deBridge 回执的验证有所欠缺,也会导致虚假充值或重复入账的风险。
五、对项目团队与用户的提醒
项目团队可以做的事情包括:在恢复服务前交付一份完整透明的技术复盘;对密钥存储、权限隔离、输入校验进行专项审计;重新梳理服务器访问控制和代码发布流程;为关键操作引入二次确认或限额机制,降低进一步伤害。
终端用户则应考虑控制在机器人中的资金规模,及时把盈利提走,并优先开启 Telegram 的双重验证、独立设备管理等防护手段。在项目方给出明确的安全承诺之前,不妨先观望,避免追加本金。
六、后记
Polycule 的事故让人再次意识到:当交易体验被压缩成一句聊天命令时,安全措施也得同步升级。Telegram 交易机器人短期内仍会是预测市场和 Meme 币的热门入口,但这片领域也会持续成为攻击者的狩猎场。我们建议项目方把安全建设当作产品的一部分,同步向用户公开进展;用户也应保持警觉,别把聊天快捷键当成无风险的资产管家。
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Token TRADOOR Anjlok 90% dalam 30 Menit di Tengah Dugaan Manipulasi Harga dan Wash Trading
Pesan Berita Gate, 25 April — Token TRADOOR mengalami penurunan harga tajam sebesar 90% dalam waktu 30 menit pukul 2:00 AM hari ini, menurut analis on-chain Specter. Token tersebut sempat melonjak hingga 900% sejak Maret 2026 sebelum anjlok mendadak, sehingga memunculkan kecurigaan adanya manipulasi harga dan perdagangan terkoordinasi
GateNews7jam yang lalu
AAVE, ZRO Turun 20% Setelah Peretasan Kelp DAO
Token AAVE dan ZRO turun sekitar 20% dalam satu minggu setelah peretasan Kelp DAO pada tanggal 18, yang mengungkap kerentanan struktural dalam infrastruktur pinjaman DeFi dan jembatan lintas-chain. Per 24 pada pukul 11:15 AM (menurut CoinMarketCap), AAVE diperdagangkan pada $94.68 (turun 16,53% secara mingguan
CryptoFrontier13jam yang lalu
41 Penculikan Kripto di Prancis dalam 3,5 Bulan; Durov Menyalahkan Kebocoran Data
Pesan Gate News, 24 April — Prancis mengalami 41 penculikan terhadap pemegang kripto dalam hanya 3,5 bulan di tahun 2026, menurut Pavel Durov, pendiri Telegram, yang mengaitkan lonjakan tersebut dengan kebocoran data yang meluas. Durov menyoroti dalam unggahan X bahwa data pribadi yang sensitif—termasuk informasi yang dimiliki otoritas pajak dan dari kebocoran besar di Badan Prancis untuk Dokumen Aman—telah mengekspos nama, alamat, dan nomor telepon sekitar 19 juta orang, sehingga membuat pemegang aset digital menjadi target yang lebih mudah.
GateNews21jam yang lalu
Tuduhan penyalahgunaan dana 350 juta dolar di bursa Zondacrypto, CEO membantah secara terbuka
Salah satu bursa mata uang kripto terbesar di Polandia, Zondacrypto, CEO-nya Przemysław Kral pada 16 April mengumumkan secara terbuka di media sosial bahwa bursa tersebut tidak dapat mengakses sebuah dompet yang berisi 4.503 bitcoin, dengan nilai saat ini lebih dari 350 juta dolar AS. Kral merilis alamat dompet yang terlibat untuk membantah tuduhan penyalahgunaan, tetapi pengungkapan tersebut segera memicu penarikan dana dalam skala besar.
MarketWhisper04-24 02:59
CryptoQuant:KelpDAO membobol/kerentanan memicu kekacauan, krisis paling serius sejak 2024, Aave TVL turun 33%
Berdasarkan evaluasi CryptoQuant pada 23 April, serangan kerentanan KelpDAO yang terjadi minggu lalu menimbulkan risiko piutang macet potensial bagi Aave sebesar 124 juta hingga 230 juta dolar dalam 72 jam, TVL anjlok 33%, suku bunga pinjaman untuk USDT dan USDC melonjak dari 3,4% menjadi 14%, dan suku bunga pinjaman ETH mencapai level tertinggi sejak Januari 2024 yaitu 8%.
MarketWhisper04-24 02:13
CoW DAO Mengusulkan Program Hibah Diskresioner untuk Mengompensasi Korban Pembajakan Domain
Pesan Berita Gate, 24 April — CoW DAO telah mengusulkan pembentukan program hibah diskresioner untuk memberi kompensasi kepada pengguna yang mengalami kerugian akibat insiden pembajakan domain cow.fi pada 14 April. Program ini akan memberikan penggantian kerugian hingga 100% melalui alokasi satu kali dari dana cadangan pembelaan hukum untuk korban yang memenuhi syarat
GateNews04-24 01:52
