作者:ExVul Security,Web3安全公司
一、事件速记
2026 年 1 月 13 日,Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击,约 23 万美元用户资金被盗。团队在 X 上快速更新:机器人随即下线,修复补丁火速推进,并承诺 Polygon 端的受影响用户将获赔付。从昨晚到今天的几轮通告,让 Telegram 交易机器人赛道的安全讨论持续升温。
二、Polycule 如何运转
Polycule 的定位很清晰:让用户在 Telegram 完成 Polymarket 上的市场浏览、仓位管理与资金调度。主要模块包括:
开户与面板:/start 会自动分配 Polygon 钱包并展示余额,/home、/help 提供入口与指令说明。
行情与交易:/trending、/search、直接粘贴 Polymarket URL 都能拉取市场详情;机器人提供市价/限价下单、订单取消与图表查看。
钱包与资金:/wallet 支持查看资产、提取资金、POL/USDC 互换、导出私钥;/fund 指导充值流程。
跨链桥接:深度集成deBridge,帮助用户从 Solana 桥入资产,并默认扣取 2% SOL 兑换成 POL 用于 Gas。
高级功能: /copytrade 打开复制交易界面,可按百分比、固定额度或自定义规则跟单,还能设置暂停、反向跟单、策略分享等扩展能力。
Polycule Trading Bot 负责与用户对话、解析指令,也在后台管理密钥、签名交易并持续监听链上事件。
用户输入 /start 后,后台自动生成 Polygon 钱包并保管私钥,随后可以继续发送 /buy、/sell、/positions 等命令完成查盘、下单、管理仓位等操作。机器人还能解析 Polymarket 的网页链接,直接返回交易入口。跨链资金则靠接入deBridge,支持把 SOL 桥接到 Polygon,并且默认抽出 2% SOL 换成 POL 供后续交易支付 Gas。更高级的功能包括 Copy Trading、限价单、自动监控目标钱包等,需要服务端长时间在线并持续代签交易。
三、Telegram 交易机器人的共性风险
便利的聊天式交互背后,是几个很难规避的安全短板:
首先,几乎所有机器人都会把用户私钥放在自己的服务器上,交易由后台直接代签。这意味着一旦服务器被攻破或者运维不慎泄露数据,攻击者就能批量导出私钥,把所有用户的资金一次性卷走。其次,认证依赖 Telegram 账号本身,若用户遭遇 SIM 卡劫持或设备丢失,攻击者无需掌握助记词就能控制机器人账户。最后,没有本地弹窗确认这一步——传统钱包每笔交易都需要用户亲自确认,而在机器人模式下,只要后台逻辑出了纰漏,系统就可能在用户毫不知情的情况下自动把钱转走。
四、Polycule 文档透露的特有攻面
结合文档内容,可以推测本次事件和未来潜在风险主要集中在以下几点:
私钥导出接口:/wallet 菜单允许用户导出私钥,说明后台保存的是可逆密钥数据。一旦存在 SQL 注入、未授权接口或日志泄漏,攻击者便可直接调用导出功能,场景与此次被盗高度吻合。
**URL 解析可能触发 SSRF:**机器人鼓励用户提交 Polymarket 链接获取行情。如果输入未经严密校验,攻击者可以伪造指向内网或云服务元数据的链接,让后台主动“踩坑”,进一步窃取凭证或配置。
**Copy Trading 的监听逻辑:**复制交易意味着机器人会跟随目标钱包同步操作。如果监听到的事件可以被伪造,或者系统缺乏对目标交易的安全过滤,跟单用户就有可能被带入恶意合约,资金被锁定甚至被直接抽走。
**跨链与自动换币环节:**自动把 2% SOL 换成 POL 的流程涉及汇率、滑点、预言机和执行权限。如果代码中对这些参数的校验不严密,黑客可能在桥接时放大换汇损失或转移 Gas 预算。另外,一旦对 deBridge 回执的验证有所欠缺,也会导致虚假充值或重复入账的风险。
五、对项目团队与用户的提醒
项目团队可以做的事情包括:在恢复服务前交付一份完整透明的技术复盘;对密钥存储、权限隔离、输入校验进行专项审计;重新梳理服务器访问控制和代码发布流程;为关键操作引入二次确认或限额机制,降低进一步伤害。
终端用户则应考虑控制在机器人中的资金规模,及时把盈利提走,并优先开启 Telegram 的双重验证、独立设备管理等防护手段。在项目方给出明确的安全承诺之前,不妨先观望,避免追加本金。
六、后记
Polycule 的事故让人再次意识到:当交易体验被压缩成一句聊天命令时,安全措施也得同步升级。Telegram 交易机器人短期内仍会是预测市场和 Meme 币的热门入口,但这片领域也会持续成为攻击者的狩猎场。我们建议项目方把安全建设当作产品的一部分,同步向用户公开进展;用户也应保持警觉,别把聊天快捷键当成无风险的资产管家。
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Leap Wallet прекратит работу 28 мая, пользователям необходимо как можно скорее завершить миграцию
Gate News сообщение, 3 апреля, криптокошелек Leap Wallet объявил, что 28 мая прекратит работу, и пользователям необходимо как можно скорее завершить перенос активов. Область прекращения работы включает: Compass Wallet (расширение, версии iOS и Android), Leap WebApp, Swapfast, проверочный узел Leap Cosmos Hub и Leap Cosmos
GateNews10ч назад
DRIFT (протокол Drift) вырос на 24,16% за 24 часа, сейчас торгуется по 0.0561 доллара США
По состоянию на 3 апреля цена DRIFT выросла на 24,16%, сейчас она составляет 0,0561 доллара, а рыночная капитализация — примерно 32,62 миллиона долларов. Drift Protocol как децентрализованная биржа демонстрирует превосходные показатели по безопасности и ликвидности, но из-за недавних инцидентов в сфере безопасности и мер по контролю рисков со стороны южнокорейских бирж торговля ограничена, а рыночная волатильность усилилась.
GateNews11ч назад
Илон Маск's X развернет «kill switch» для мошенничества, автоматически блокируя тех, кто впервые упоминает криптовалюту
Социальная платформа X автоматически блокирует учетные записи, которые упоминают криптовалюту впервые, требуя дополнительной верификации, чтобы сдерживать криптофишинговые мошеннические схемы. Эта новая мера направлена на то, чтобы устранить стимулы для атак, которые захватывают аккаунты, чтобы продвигать мошеннические токены.
CoinDesk21ч назад
Платформа X применяет жесткие меры: при первом общении аккаунта с криптовалютой будет «автоматически заблокировано» — требует верификацию, ответственный за продукт разнес Google за то, что тот допускает фишинговые письма.
X (бывший Twitter) внедрит новые защитные меры: если пользователь впервые публикует контент, связанный с криптовалютой, учетная запись будет автоматически заблокирована и потребует проверки личности, чтобы предотвратить, что злоумышленники используют эту учетную запись для мошенничества. Руководитель продукта X Никита Бир также раскритиковал Google за бездействие в отношении фишинговых писем, подчеркнув, что это может устранить 99% мотивов для действий хакеров.
動區BlockTempo21ч назад
Пользователям кошелька Magic Eden сообщили о необходимости экспортировать ключи, поскольку поддержка сворачивается
Magic Eden прекращает работу своего кошелькового приложения, переводя его в режим только экспорта, что означает, что пользователям необходимо экспортировать свои закрытые ключи, чтобы не потерять доступ к своим средствам. Это изменение подчеркивает важность самостоятельного хранения и сохранности ключей для пользователей криптовалюты.
CryptoNewsFlash04-02 10:41
Loopscale: Около 170 000 долларов США депозитов в SOL Genesis Vault через косвенное воздействие находится в Drift, обещают полную компенсацию
Loopscale не имеет прямой связи с Drift; большинство средств безопасно, но часть существует в виде косвенного риска. Поступления в SOL Genesis Vault будут полностью компенсированы пользователям; функции внесения и снятия средств временно отключены, после восстановления они будут снова открыты.
GateNews04-02 03:42
