Auteur : ExVul Security, société de sécurité Web3
一、Résumé de l’événement
Le 13 janvier 2026, Polycule a confirmé que son robot de trading Telegram avait été piraté, avec environ 230 000 dollars de fonds d’utilisateurs volés. L’équipe a rapidement publié une mise à jour sur X : le robot a été mis hors ligne, un correctif a été déployé en urgence, et il a été promis que les utilisateurs affectés du côté Polygon seraient indemnisés. Depuis la veille au soir jusqu’à aujourd’hui, plusieurs annonces ont alimenté la discussion sur la sécurité dans le domaine des robots de trading Telegram.
二、Comment fonctionne Polycule
La position de Polycule est très claire : permettre aux utilisateurs de naviguer sur le marché, gérer leurs positions et leurs fonds via Telegram sur Polymarket. Les modules principaux incluent :
Ouverture de compte et tableau de bord : /start attribue automatiquement un portefeuille Polygon et affiche le solde, /home et /help offrent des accès et des instructions.
Marché et trading : /trending, /search, ou coller directement une URL Polymarket permettent d’obtenir les détails du marché ; le robot propose des ordres au marché / limite, l’annulation d’ordres et la visualisation de graphiques.
Portefeuille et fonds : /wallet permet de consulter les actifs, retirer des fonds, échanger POL/USDC, exporter la clé privée ; /fund guide le processus de recharge.
Pont inter-chaînes : intégration approfondie avec deBridge, aidant les utilisateurs à transférer des actifs depuis Solana, avec une déduction par défaut de 2% en SOL pour convertir en POL pour le gaz.
Fonctionnalités avancées : /copytrade ouvre l’interface de copie de trading, permettant de suivre selon un pourcentage, un montant fixe ou des règles personnalisées, avec options de pause, de suivi inverse, de partage de stratégies, etc.
Le Polycule Trading Bot gère la communication avec l’utilisateur, analyse les commandes, et en arrière-plan, gère les clés, signe les transactions et surveille en continu les événements sur la blockchain.
Après avoir saisi /start, le système génère automatiquement un portefeuille Polygon et conserve la clé privée. L’utilisateur peut ensuite continuer avec des commandes comme /buy, /sell, /positions pour consulter, trader et gérer ses positions. Le robot peut aussi analyser des liens web Polymarket pour fournir directement le point d’entrée au trading. Les fonds inter-chaînes passent par deBridge, permettant de bridge SOL vers Polygon, avec une déduction par défaut de 2% en SOL pour convertir en POL pour payer le gaz. Les fonctionnalités avancées incluent Copy Trading, ordres limités, surveillance automatique de portefeuilles cibles, nécessitant un serveur en ligne en permanence pour signer les transactions.
三、Risques communs aux robots de trading Telegram
Derrière une interaction conviviale en mode chat, se cachent plusieurs vulnérabilités de sécurité difficiles à éviter :
Premièrement, presque tous les robots stockent la clé privée des utilisateurs sur leurs serveurs, et effectuent des signatures de transactions en leur nom. Cela signifie qu’en cas de piratage du serveur ou de fuite accidentelle de données, un attaquant peut exporter en masse ces clés privées, volant ainsi tous les fonds des utilisateurs en une seule fois. Deuxièmement, l’authentification repose sur le compte Telegram lui-même : si l’utilisateur est victime d’un détournement de SIM ou perd son appareil, l’attaquant peut contrôler le compte du robot sans connaître la phrase de récupération. Enfin, il n’y a pas de confirmation locale par popup — contrairement à un portefeuille traditionnel où chaque transaction doit être confirmée manuellement par l’utilisateur —, dans le mode robot, une erreur dans la logique backend peut entraîner un transfert automatique de fonds à l’insu de l’utilisateur.
四、Les vulnérabilités spécifiques révélées par la documentation de Polycule
En analysant la documentation, on peut supposer que cet incident et les risques futurs potentiels se concentrent principalement sur les points suivants :
Interface d’exportation de la clé privée : /wallet permet aux utilisateurs d’exporter leur clé privée, indiquant que le backend stocke des données de clés réversibles. En cas d’injection SQL, d’interface non autorisée ou de fuite dans les logs, un attaquant pourrait exploiter cette fonction pour exporter directement ces clés, ce qui correspond fortement à la situation du vol.
Analyse d’URL pouvant déclencher une SSRF : le robot encourage l’utilisateur à soumettre des liens Polymarket pour obtenir des informations de marché. Si la validation de ces entrées est insuffisante, un attaquant peut falsifier des liens pointant vers des ressources internes ou des métadonnées cloud, permettant au backend d’être victime d’un “piège” et de voler des identifiants ou des configurations.
Logique d’écoute du Copy Trading : suivre un portefeuille cible implique que le robot doit suivre et reproduire ses opérations. Si les événements écoutés peuvent être falsifiés ou si le système manque de filtres de sécurité, l’utilisateur en copie pourrait être entraîné dans un contrat malveillant, avec un risque de verrouillage ou de vol direct des fonds.
Pont inter-chaînes et échange automatique : le processus d’échange automatique de 2% de SOL en POL dépend des taux de change, du slippage, des oracles et des droits d’exécution. Si ces paramètres ne sont pas strictement vérifiés dans le code, un attaquant pourrait augmenter la perte lors du bridge ou détourner le budget de gas. De plus, une validation insuffisante des reçus de deBridge peut entraîner des risques de rechargements frauduleux ou de double comptabilisation.
五、Conseils pour l’équipe du projet et les utilisateurs
Ce que l’équipe peut faire : publier un retour technique complet et transparent avant la reprise du service ; réaliser des audits spécifiques sur le stockage des clés, la séparation des permissions, la validation des entrées ; revoir les contrôles d’accès serveur et le processus de déploiement ; introduire une double confirmation ou des limites pour les opérations critiques afin de réduire les dommages potentiels.
Ce que les utilisateurs doivent faire : limiter la taille des fonds dans le robot, retirer rapidement les gains, activer en priorité la double authentification Telegram et la gestion sur appareils séparés. Avant que le projet ne fasse des engagements de sécurité clairs, il vaut mieux attendre et éviter d’ajouter des fonds.
六、Conclusion
L’incident de Polycule rappelle une fois de plus : lorsque l’expérience de trading se résume à une commande en chat, les mesures de sécurité doivent également évoluer. Les robots de trading Telegram resteront à court terme une porte d’entrée populaire pour le marché des prédictions et des memecoins, mais ce domaine continuera d’être une cible privilégiée pour les attaquants. Nous recommandons aux projets de considérer la sécurité comme une partie intégrante du produit, en communiquant régulièrement sur les avancées ; les utilisateurs doivent aussi rester vigilants et ne pas considérer la messagerie comme un gestionnaire d’actifs sans risque.
Articles similaires
Porte-monnaie Phantom en panne majeure ! Pendant la période d’airdrop, le prix des jetons devient chaotique, le solde passe à zéro, les utilisateurs s’en prennent à « se faire indemniser »
Le portefeuille Phantom, dans l’écosystème Solana, a connu une interruption de service pendant la période d’airdrops, ce qui a entraîné des affichages anormaux du prix des jetons et des soldes des comptes, affectant les transactions des utilisateurs. Certains utilisateurs ont subi des pertes et demandent une indemnisation. Des experts en sécurité avertissent qu’il existe un risque d’attaques de phishing et recommandent aux utilisateurs de vérifier les informations on-chain. Bien que le problème ait été résolu, la crise de confiance reste à surveiller. Cet incident met en évidence les défis liés à la stabilité des systèmes et à l’expérience d’utilisation des portefeuilles autogérés.
区块客Il y a 2h
Un CEX propose aux employés des Émirats arabes unis une option de relocalisation temporaire afin de faire face aux conflits régionaux
Sous l’impact de la guerre Iran–guerre, une certaine CEX offre à environ 1 000 employés des Émirats arabes unis la possibilité d’une relocalisation temporaire vers des lieux comme Hong Kong. Les activités aux Émirats arabes unis se déroulent normalement, et le service aux utilisateurs mondiaux n’est pas affecté. Cette initiative vise à faire face aux perturbations des conflits régionaux sur les activités liées aux crypto-monnaies.
GateNewsIl y a 3h
La Commission de réglementation des valeurs mobilières de Jiangsu met en garde contre la « fausse plateforme d’échange » de Hong Kong, avec des annonces frauduleuses, et rappelle de se méfier de la collecte illégale de fonds via des actions non cotées (actions originales)
Nouvelles de Gate News, 10 avril, la Commission chinoise de réglementation des valeurs mobilières du Jiangsu a publié un avertissement des risques. Récemment, des intermédiaires malveillants utilisent comme accroche l’idée de « faire retentir les cloches à la cote » sur la Bourse de Hong Kong moyennant le versement de frais, et proposent des services tels que la fourniture de faux codes d’actions, des annonces de site Web, etc. Les plateformes concernées sont pour la plupart des « fausses bourses », et elles mettent en scène une fausse cotation en l’emballant par la contrefaçon de cérémonies. Certaines entreprises profitent de l’occasion pour commercialiser auprès du public des parts sociales et des actions d’origine, ce qui pourrait constituer une collecte illégale de fonds. Les autorités de régulation rappellent aux investisseurs : ils doivent vérifier l’habilitation des institutions via le site officiel de la Securities and Futures Commission de Hong Kong, se méfier des promotions garantissant le capital et des rendements élevés, ne pas transférer d’argent vers des comptes personnels ni vers des plateformes non officielles, et en cas d’indices, les signaler en temps utile et déposer plainte.
GateNewsIl y a 4h
Stabble exhorte les utilisateurs à retirer la liquidité après un lien allégué avec un pirate informatique nord-coréen
Stabble, une bourse décentralisée sur Solana, a conseillé aux utilisateurs de retirer leur liquidité après qu’un ancien dirigeant a été lié à des piratages présumés par la Corée du Nord, ce qui a fait chuter sa valeur totale bloquée (TVL) de 62%. Cet incident a mis en évidence l’importance de la confiance envers le personnel dans les plateformes décentralisées.
CryptoNewsFlashIl y a 12h
Rapport quotidien de Gate (10 avril) : Le secrétaire au Trésor américain soutient le dépôt du « projet de loi CLARITY » auprès de Trump ; WLFI emprunte 75 millions de stablecoins, suscitant la panique
Le Bitcoin a augmenté à court terme jusqu’à 71,830 dollars, puis a corrigé ; le Trésor américain, avec le secrétaire Besent, fait face à des défis dans la promotion du « projet de loi CLARITY », ce qui pourrait avoir un impact sur la législation relative aux stablecoins. WLFI a emprunté 75 millions de dollars de stablecoins, ce qui a soulevé un risque de liquidation. Les actions américaines ont progressé grâce à l’anticipation de pourparlers de paix ; le sentiment du marché est optimiste, mais la liquidité des flux de capitaux reste à améliorer.
MarketWhisperIl y a 14h
Covenant AI annonce son retrait du réseau Bittensor, en remettant en question les problèmes de centralisation de sa gouvernance
Covenant AI annonce son retrait du réseau Bittensor, remettant en question l’authenticité de sa structure de gouvernance décentralisée, et estimant que le pouvoir décisionnel est concentré et manque de transparence. Récemment, lors de l’exploitation de sous-réseaux, Covenant AI a rencontré des comportements inappropriés tels que des ajustements des droits de gestion, qu’elle juge contraires aux principes de décentralisation. Covenant AI continuera d’œuvrer en faveur d’une direction de l’entraînement IA décentralisé.
GateNewsIl y a 15h
