Tác giả: ExVul Security, Công ty an ninh Web3
一、Ghi chú nhanh về sự kiện
Ngày 13 tháng 1 năm 2026, chính thức xác nhận của Polycule rằng robot giao dịch Telegram của họ đã bị tấn công bởi hacker, khoảng 230.000 USD vốn của người dùng bị đánh cắp. Nhóm đã cập nhật nhanh trên X: robot ngay lập tức ngừng hoạt động, vá lỗi nhanh chóng và cam kết bồi thường cho các người dùng bị ảnh hưởng trên Polygon. Các thông báo liên tiếp từ tối qua đến nay đã làm nóng thêm cuộc thảo luận về an ninh trong lĩnh vực robot giao dịch Telegram.
二、Cách hoạt động của Polycule
Vị trí của Polycule rất rõ ràng: cho phép người dùng hoàn tất việc duyệt thị trường, quản lý vị thế và điều phối vốn trên Polymarket qua Telegram. Các module chính gồm:
Mở tài khoản và bảng điều khiển: /start tự động phân phối ví Polygon và hiển thị số dư, /home, /help cung cấp các lối vào và hướng dẫn lệnh.
Thị trường và giao dịch: /trending, /search, dán URL Polymarket trực tiếp đều có thể lấy chi tiết thị trường; robot cung cấp đặt lệnh theo giá thị trường/giới hạn, hủy lệnh và xem biểu đồ.
Ví và vốn: /wallet hỗ trợ xem tài sản, rút vốn, hoán đổi POL/USDC, xuất khóa riêng; /fund hướng dẫn quy trình nạp tiền.
Cầu nối chuỗi chéo: tích hợp sâu deBridge, giúp người dùng chuyển tài sản từ Solana qua cầu, mặc định trừ 2% SOL để đổi lấy POL dùng cho phí Gas.
Chức năng nâng cao: /copytrade mở giao diện sao chép giao dịch, có thể theo phần trăm, số cố định hoặc quy tắc tùy chỉnh để theo dõi, còn có thể thiết lập tạm dừng, theo chiều ngược, chia sẻ chiến lược và các khả năng mở rộng khác.
Bot Giao dịch Polycule chịu trách nhiệm trò chuyện với người dùng, phân tích lệnh, quản lý khóa trong nền, ký giao dịch và liên tục theo dõi các sự kiện trên chuỗi.
Sau khi người dùng nhập /start, hệ thống tự động tạo ví Polygon và giữ khóa riêng, sau đó có thể tiếp tục gửi các lệnh /buy, /sell, /positions để kiểm tra, đặt lệnh, quản lý vị thế. Robot còn có thể phân tích liên kết web Polymarket, trực tiếp trả về lối vào giao dịch. Vốn chuỗi chéo dựa vào deBridge, hỗ trợ cầu SOL sang Polygon, đồng thời mặc định trích 2% SOL đổi lấy POL để thanh toán phí Gas. Các chức năng nâng cao như Copy Trading, lệnh giới hạn, giám sát tự động ví mục tiêu yêu cầu server phải luôn trực tuyến và ký giao dịch liên tục.
三、Những rủi ro chung của robot giao dịch Telegram
Phía sau sự tiện lợi của tương tác dạng trò chuyện là một số điểm yếu về an ninh rất khó khắc phục:
Trước hết, hầu hết các robot đều lưu khóa riêng của người dùng trên máy chủ của mình, các giao dịch được ký thay trực tiếp từ nền. Điều này có nghĩa là nếu máy chủ bị tấn công hoặc vận hành không cẩn thận để lộ dữ liệu, kẻ tấn công có thể xuất khẩu hàng loạt khóa riêng, lấy hết toàn bộ vốn của người dùng trong một lần. Thứ hai, xác thực dựa vào tài khoản Telegram, nếu người dùng bị chiếm đoạt SIM hoặc mất thiết bị, kẻ tấn công có thể kiểm soát tài khoản robot mà không cần biết mnemonic. Cuối cùng, không có bước xác nhận bật popup cục bộ — trong ví truyền thống, mỗi giao dịch đều cần người dùng xác nhận trực tiếp, còn trong chế độ robot, chỉ cần logic phía sau có lỗi, hệ thống có thể tự động chuyển tiền mà người dùng không hay biết.
四、Các điểm tấn công đặc thù trong tài liệu của Polycule
Kết hợp nội dung tài liệu, có thể dự đoán rằng sự kiện lần này và các rủi ro tiềm năng trong tương lai chủ yếu tập trung vào các điểm sau:
Giao diện xuất khóa riêng: /wallet cho phép người dùng xuất khóa riêng, cho thấy backend lưu trữ dữ liệu khóa có thể đảo ngược. Nếu xảy ra SQL injection, API không được phép hoặc rò rỉ log, kẻ tấn công có thể trực tiếp gọi chức năng xuất, phù hợp cao với vụ bị đánh cắp lần này.
Phân tích URL có thể kích hoạt SSRF: robot khuyến khích người dùng gửi liên kết Polymarket để lấy dữ liệu thị trường. Nếu đầu vào không được kiểm tra chặt chẽ, kẻ tấn công có thể giả mạo liên kết hướng vào nội bộ hoặc metadata của dịch vụ đám mây, khiến backend tự “dẫm vào bẫy”, từ đó lấy cắp chứng thực hoặc cấu hình.
Logic theo dõi Copy Trading: sao chép giao dịch có nghĩa là robot sẽ theo dõi hoạt động của ví mục tiêu. Nếu các sự kiện này có thể bị giả mạo hoặc hệ thống thiếu lọc an toàn, người theo dõi có thể bị dẫn vào hợp đồng độc hại, vốn bị khóa hoặc bị rút trực tiếp.
Chuỗi chéo và chuyển đổi tự động: quá trình tự động đổi 2% SOL thành POL liên quan đến tỷ giá, trượt giá, oracle và quyền thực thi. Nếu các tham số này không được kiểm tra chặt chẽ, hacker có thể làm tăng thiệt hại khi cầu nối hoặc chuyển đổi, hoặc chuyển ngân sách Gas. Ngoài ra, nếu xác thực phản hồi của deBridge bị thiếu, cũng có thể dẫn đến rủi ro nạp giả hoặc ghi nhận trùng lặp.
五、Những cảnh báo dành cho nhóm dự án và người dùng
Nhóm dự án có thể làm: trước khi khôi phục dịch vụ, cung cấp một bản tổng kết kỹ thuật rõ ràng, minh bạch; kiểm tra chuyên sâu về lưu trữ khóa, cách ly quyền, kiểm tra đầu vào; rà soát lại kiểm soát truy cập máy chủ và quy trình phát hành mã; thêm xác nhận hai bước hoặc giới hạn cho các thao tác quan trọng để giảm thiểu thiệt hại.
Người dùng cuối cần: cân nhắc hạn chế quy mô vốn trong robot, rút lợi nhuận kịp thời, bật xác thực hai yếu tố của Telegram, quản lý thiết bị độc lập để phòng ngừa. Trước khi dự án đưa ra cam kết an toàn rõ ràng, tốt nhất nên chờ đợi, tránh bổ sung vốn.
六、Kết luận
Sự cố của Polycule một lần nữa nhắc nhở chúng ta rằng: khi trải nghiệm giao dịch bị rút ngắn thành một câu lệnh trò chuyện, các biện pháp an ninh cũng phải được nâng cấp đồng bộ. Trong thời gian ngắn, robot giao dịch Telegram vẫn sẽ là cổng vào dự đoán thị trường và Meme coin phổ biến, nhưng lĩnh vực này cũng sẽ tiếp tục là nơi săn mồi của kẻ tấn công. Chúng tôi khuyên các dự án hãy xem an ninh như một phần của sản phẩm, công khai tiến trình cho người dùng; người dùng cũng nên cảnh giác, đừng coi các phím tắt trò chuyện như quản lý tài sản không rủi ro.
Bài viết liên quan
Một nền tảng thị trường dự đoán đã gỡ bỏ thị trường dự đoán “phi công Mỹ mất tích” và cho biết đó vi phạm các tiêu chuẩn về tính toàn vẹn
Một nền tảng dự đoán thị trường đã bị gỡ bỏ một thị trường về số phận của các phi công Mỹ mất tích do vi phạm “tiêu chuẩn về tính toàn vẹn”, dẫn đến tranh cãi. Các nghị sĩ Hạ viện Mỹ đã chỉ trích việc đặt cược như vậy là “đáng ghê tởm” và đặt câu hỏi về tính minh bạch của các quy tắc. Đồng thời, những lo ngại về giao dịch nội gián ngày càng gia tăng, và cơ quan quản lý kêu gọi tăng cường các biện pháp hạn chế.
GateNews7giờ trước
Elon Musk’s X để triển khai công tắc tiêu diệt lừa đảo bằng cách tự động khóa những người nhắc đến tiền mã hóa lần đầu
Nền tảng mạng xã hội X sẽ tự động khóa các tài khoản nhắc đến tiền mã hóa lần đầu tiên, yêu cầu xác minh bổ sung để ngăn chặn các trò lừa đảo phishing liên quan đến crypto. Biện pháp mới này nhằm loại bỏ động cơ cho các cuộc tấn công chiếm quyền tài khoản để quảng bá các token gian lận.
CoinDesk04-03 15:48
four.meme do lỗi kỹ thuật tạm dừng việc tạo token theo chế độ thu phí, sẽ hoàn lại toàn bộ tiền cho người dùng bị ảnh hưởng
Thông báo bốn.meme: Do địa chỉ nhận thu phí dự án bắt đầu bằng 0x9f4 trong lệnh có khiếm khuyết, dẫn đến giao dịch bán bị thất bại. Đã tạm dừng chức năng tạo token liên quan và khuyến nghị người dùng ngừng giao dịch. Đồng thời, sẽ hoàn trả 100% cho các người dùng bị ảnh hưởng đã mua trước 22:50 ngày 3 tháng 4.
GateNews04-03 15:04
Tải video riêng tư để tống tiền bằng tiền mã hóa? “Anh hùng vay” nhắm vào những người không còn đường lui, nếu vi phạm thì sẽ đăng lên OnlyFans
Một sản phẩm kết hợp tiền điện tử, nội dung người lớn và cơ chế cho vay rủi ro cao đã gây xôn xao trong cộng đồng crypto và các nền tảng mạng xã hội trong thời gian gần đây. Dự án có tên “Hero Loan (Anh hùng vay)”, quảng bá khẩu hiệu “Vay không cần tài sản thế chấp”, nhưng lại yêu cầu người dùng tải lên các video riêng tư làm điều kiện, đồng thời gắn rủi ro vỡ nợ với cơ chế kiếm tiền từ nền tảng dành cho người lớn—và đã được nhiều người dùng mạng mô tả là “naked loan phiên bản crypto”.
Thậm chí dự án còn dùng câu “Nếu bạn nghĩ rằng điều này sẽ không có ai dùng, thì có nghĩa là bạn vẫn chưa đi tới tận cùng tuyệt vọng” làm thông điệp quảng bá, nhắm rõ đến nhóm người dùng có rủi ro cao và áp lực tài chính cực lớn. Tuy nhiên, chỉ một thời gian ngắn sau khi bị phanh phui, một cư dân mạng cho biết đã gửi video nhưng không nhận được tiền, và KOL cũng phản hồi rằng dự án này nghi ngờ đã “chuồn chạy”.
Nhưng nói thật, video riêng tư chỉ đáng giá 60 đồng thì cũng quá thảm rồi.
“Anh hùng vay” nhắm đến những người không còn đường lui
Theo thông tin trên trang web chính thức, sản phẩm này vận hành trên BNB Chain, tập trung vào việc “dành cho những người đã không còn đường lui”
ChainNewsAbmedia04-03 13:35
Leap Wallet sẽ ngừng hoạt động vào ngày 28 tháng 5, người dùng cần hoàn tất quá trình di chuyển càng sớm càng tốt
Tin tức từ Gate News: vào ngày 3 tháng 4, ứng dụng ví tiền mã hóa Leap Wallet thông báo rằng họ sẽ ngừng hoạt động vào ngày 28 tháng 5 và người dùng cần hoàn tất việc di chuyển tài sản càng sớm càng tốt. Phạm vi ngừng hoạt động bao gồm: Compass Wallet (phiên bản tiện ích mở rộng, iOS và Android), Leap WebApp, Swapfast, các node xác thực Leap Cosmos Hub và Leap Cosmos
GateNews04-03 02:41
DRIFT (Drift Protocol) tăng 24,16% trong 24 giờ, hiện giá đạt 0,0561 USD
Tính đến ngày 3 tháng 4, giá DRIFT đã tăng 24,16%, hiện ở mức 0.0561 USD, vốn hóa vào khoảng 32.621,13 triệu USD. Drift Protocol, với tư cách là sàn giao dịch phi tập trung, thể hiện ưu thế vượt trội về tính an toàn và thanh khoản, nhưng do các sự kiện an ninh gần đây và các biện pháp kiểm soát rủi ro của sàn giao dịch tại Hàn Quốc, giao dịch bị hạn chế, khiến biến động thị trường gia tăng.
GateNews04-03 01:29
