Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
WCTC S8
Recompensas

O bot de trading de nível superior Polycule na Polymarket foi atacado. Como os projetos de mercado de previsão devem garantir a segurança e prevenir ataques

PANews
Risco cambial
POL1,98%
DBR7,79%
SOL0,37%

Autor: ExVul Security, empresa de segurança Web3

Um, 1. Resumo do Evento

Em 13 de janeiro de 2026, a Polycule confirmou oficialmente que seu bot de negociação no Telegram foi alvo de um ataque hacker, resultando no roubo de aproximadamente 230 mil dólares em fundos de usuários. A equipe atualizou rapidamente no X: o bot foi retirado do ar, patches de correção foram implementados com rapidez, e compromissos foram feitos de que os usuários afetados na Polygon seriam compensados. Desde ontem à noite até hoje, várias notificações mantiveram o debate sobre segurança na pista de bots de negociação no Telegram em alta.

Dois, Como funciona a Polycule

A proposta da Polycule é bastante clara: permitir que os usuários naveguem por mercados, gerenciem posições e movimentem fundos no Polymarket através do Telegram. Os principais módulos incluem:

Abertura de conta e painel: /start automaticamente fornece uma carteira Polygon e exibe o saldo, /home e /help oferecem acesso e instruções.

Dados de mercado e negociação: /trending, /search, ou colar diretamente a URL do Polymarket permite obter detalhes do mercado; o bot oferece ordens a mercado/limitadas, cancelamento de ordens e visualização de gráficos.

Carteira e fundos: /wallet permite verificar ativos, retirar fundos, trocar POL/USDC, exportar chaves privadas; /fund orienta sobre o processo de recarga.

** Ponte entre blockchains:** integração profunda com deBridge, ajudando os usuários a transferir ativos de Solana para a Polygon, com uma dedução padrão de 2% em SOL para troca por POL para Gas.

Recursos avançados: /copytrade abre a interface de cópia de negociações, permitindo seguir por porcentagem, valor fixo ou regras personalizadas, além de configurações de pausa, negociação reversa, compartilhamento de estratégias e outras funcionalidades.

O Polycule Trading Bot é responsável por interagir com os usuários, interpretar comandos, além de gerenciar chaves de forma backend, assinar transações e monitorar eventos na blockchain continuamente.

Após o usuário digitar /start, o backend gera automaticamente uma carteira Polygon e mantém a chave privada segura. Depois, pode-se continuar enviando comandos como /buy, /sell, /positions para consultar, negociar e gerenciar posições. O bot também consegue interpretar links de páginas do Polymarket, retornando diretamente o link de negociação. Os fundos entre blockchains dependem da integração com deBridge, suportando a ponte de SOL para Polygon, com uma dedução padrão de 2% em SOL para troca por POL para pagamento de Gas. Funcionalidades mais avançadas incluem Copy Trading, ordens limitadas, monitoramento automático de carteiras-alvo, que requerem um servidor sempre online e assinatura contínua de transações.

Três, Riscos comuns dos bots de negociação no Telegram

Por trás de uma interação de chat conveniente, existem algumas vulnerabilidades de segurança difíceis de evitar:

Primeiro, quase todos os bots armazenam a chave privada do usuário em seus próprios servidores, assinando transações em nome do usuário. Isso significa que, se o servidor for invadido ou ocorrer vazamento de dados por má administração, o atacante pode exportar em massa as chaves privadas e roubar todos os fundos dos usuários de uma só vez. Em segundo lugar, a autenticação depende da conta do Telegram; se o usuário sofrer sequestro de SIM ou perder o dispositivo, o atacante pode controlar a conta do bot sem precisar da frase-semente. Por fim, não há uma confirmação local na etapa — enquanto carteiras tradicionais exigem confirmação do usuário para cada transação, no modo de bot, qualquer falha na lógica do backend pode fazer o sistema transferir dinheiro automaticamente sem o conhecimento do usuário.

Quatro, Particularidades reveladas na documentação da Polycule

Com base no conteúdo da documentação, é possível inferir que o incidente atual e riscos futuros se concentram principalmente em:

Interface de exportação de chaves privadas: /wallet permite que o usuário exporte a chave privada, indicando que o backend armazena dados de chaves reversíveis. Se houver vulnerabilidades como injeção de SQL, interfaces não autorizadas ou vazamento de logs, o atacante pode usar essa funcionalidade para exportar chaves, cenário altamente compatível com o roubo ocorrido.

Possibilidade de SSRF na análise de URLs: o bot incentiva os usuários a enviar links do Polymarket para obter dados de mercado. Se a validação desses links for fraca, um atacante pode falsificar URLs apontando para redes internas ou metadados de serviços na nuvem, fazendo o backend “pisar na armadilha” e roubar credenciais ou configurações.

Lógica de monitoramento do Copy Trading: seguir uma carteira significa que o bot acompanha as operações do alvo. Se os eventos monitorados puderem ser falsificados ou se o sistema não tiver filtros de segurança para as transações do alvo, o usuário que segue pode ser levado a contratos maliciosos, com fundos potencialmente bloqueados ou até roubados diretamente.

Ponte entre blockchains e troca automática de moedas: o processo de trocar automaticamente 2% de SOL por POL envolve taxas de câmbio, slippage, oráculos e permissões de execução. Se esses parâmetros não forem rigorosamente validados, hackers podem ampliar perdas na troca ou transferir o orçamento de Gas. Além disso, a validação de recibos do deBridge, se negligenciada, pode levar a riscos de recarga falsa ou entradas duplicadas.

Cinco, Avisos para a equipe do projeto e usuários

Para a equipe do projeto: podem fazer uma análise técnica completa e transparente antes de restabelecer o serviço; realizar auditorias específicas em armazenamento de chaves, isolamento de permissões e validação de entradas; revisar o controle de acesso ao servidor e o fluxo de publicação de código; implementar confirmações secundárias ou limites para operações críticas, reduzindo danos adicionais.

Para os usuários finais: devem limitar o valor de fundos no bot, retirar lucros prontamente e ativar ao máximo a autenticação de dois fatores do Telegram, gerenciamento de dispositivos independentes e outras medidas de proteção. Antes de receberem compromissos de segurança claros do projeto, é prudente aguardar e evitar investir mais capital.

Seis, Encerramento

O incidente da Polycule reforça a ideia de que, quando a experiência de negociação é comprimida em um comando de chat, as medidas de segurança também precisam evoluir. Por um curto período, bots de negociação no Telegram continuarão sendo uma porta popular para mercados de previsão e Meme Coins, mas esse campo também continuará sendo um alvo para atacantes. Recomendamos que os projetos tratem a segurança como parte do produto, divulgando progressos aos usuários; e que os usuários mantenham a vigilância, não considerando atalhos de chat como uma gestão de ativos sem riscos.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

Related Articles

A bolsa Zondacrypto enfrenta acusações de desvio de 350 milhões de dólares, o CEO nega publicamente

Incidentes de segurançaRisco cambial

Um dos maiores exchanges de criptomoedas da Polónia, a Zondacrypto, o CEO Przemysław Kral (Przemysław Kral) anunciou publicamente a 16 de abril, nas redes sociais, que a exchange não conseguiu aceder a uma carteira que contém 4.503 bitcoins, com um valor actual de mais de 350 milhões de dólares. Kral divulgou o endereço da carteira em causa para refutar alegações de apropriação indevida, mas esta revelação desencadeou imediatamente uma retirada em massa.

MarketWhisper8h atrás

CryptoQuant: Explosão de vulnerabilidade do KelpDAO, a crise mais grave desde 2024, queda de 33% no TVL da Aave

Volatilidade dos preçosFluxo de capitalIncidentes de segurançaRisco cambialDados on-chain

De acordo com a avaliação da CryptoQuant de 23 de abril, o ataque de exploração da KelpDAO ocorrido na semana passada expôs a Aave a um risco potencial de créditos incobráveis entre 124 e 230 milhões de dólares num prazo de 72 horas, com uma queda acentuada do TVL de 33%. As taxas de juro dos empréstimos em USDT e USDC dispararam de 3,4% para 14%, e a taxa de juro dos empréstimos em ETH atingiu o nível mais alto desde janeiro de 2024, em 8%.

MarketWhisper8h atrás

A CoW DAO propõe um programa de subsídios discricionários para compensar vítimas do sequestro do domínio

Progresso do projetoIncidentes de segurançaRisco cambial

Mensagem do Gate News, 24 de abril — A CoW DAO propôs a criação de um programa de subsídios discricionários para compensar utilizadores que sofreram perdas com o incidente de sequestro do domínio cow.fi, a 14 de abril. O programa fornecerá até 100% de reembolso das perdas através de uma alocação única do fundo de reserva da defesa legal

GateNews9h atrás

Maior bolsa da Polónia enfrenta alegações de $350M burla

bitcoin newsIncidentes de segurançaRisco cambial

A Zondacrypto está a enfrentar alegações de apropriação indevida de fundos, uma vez que o seu CEO, Przemysław Kral, afirma que a exchange perdeu o acesso a uma carteira que contém mais de 4.500 BTC. Kral afirmou que a carteira foi vendida à exchange, mas o seu antigo proprietário desapareceu antes de entregar as chaves privadas. Chave

Coinpedia11h atrás

JPMorgan: Exploits de segurança em DeFi e TVL estagnado limitam a adopção institucional

ethereum newsUSDT newsIncidentes de segurançaRisco cambialDados on-chainRelatórios do setor

Mensagem da Gate News, 23 de Abril — Analistas do JPMorgan liderados pelo director-gerente Nikolaos Panigirtzoglou disseram que os persistentes exploits de (finanças descentralizadas )DeFi$20 e o fraco crescimento continuam a limitar o interesse institucional no sector. O recente hack do Kelp DAO eliminou aproximadamente mil milhões do total value locked TVL da DeFi em apenas alguns dias, segundo o relatório de quarta-feira.

GateNews17h atrás
Comentar
0/400
Nenhum comentário