Autor: ExVul Security, empresa de segurança Web3
Um, 1. Resumo do Evento
Em 13 de janeiro de 2026, a Polycule confirmou oficialmente que seu bot de negociação no Telegram foi alvo de um ataque hacker, resultando no roubo de aproximadamente 230 mil dólares em fundos de usuários. A equipe atualizou rapidamente no X: o bot foi retirado do ar, patches de correção foram implementados com rapidez, e compromissos foram feitos de que os usuários afetados na Polygon seriam compensados. Desde ontem à noite até hoje, várias notificações mantiveram o debate sobre segurança na pista de bots de negociação no Telegram em alta.
Dois, Como funciona a Polycule
A proposta da Polycule é bastante clara: permitir que os usuários naveguem por mercados, gerenciem posições e movimentem fundos no Polymarket através do Telegram. Os principais módulos incluem:
Abertura de conta e painel: /start automaticamente fornece uma carteira Polygon e exibe o saldo, /home e /help oferecem acesso e instruções.
Dados de mercado e negociação: /trending, /search, ou colar diretamente a URL do Polymarket permite obter detalhes do mercado; o bot oferece ordens a mercado/limitadas, cancelamento de ordens e visualização de gráficos.
Carteira e fundos: /wallet permite verificar ativos, retirar fundos, trocar POL/USDC, exportar chaves privadas; /fund orienta sobre o processo de recarga.
** Ponte entre blockchains:** integração profunda com deBridge, ajudando os usuários a transferir ativos de Solana para a Polygon, com uma dedução padrão de 2% em SOL para troca por POL para Gas.
Recursos avançados: /copytrade abre a interface de cópia de negociações, permitindo seguir por porcentagem, valor fixo ou regras personalizadas, além de configurações de pausa, negociação reversa, compartilhamento de estratégias e outras funcionalidades.
O Polycule Trading Bot é responsável por interagir com os usuários, interpretar comandos, além de gerenciar chaves de forma backend, assinar transações e monitorar eventos na blockchain continuamente.
Após o usuário digitar /start, o backend gera automaticamente uma carteira Polygon e mantém a chave privada segura. Depois, pode-se continuar enviando comandos como /buy, /sell, /positions para consultar, negociar e gerenciar posições. O bot também consegue interpretar links de páginas do Polymarket, retornando diretamente o link de negociação. Os fundos entre blockchains dependem da integração com deBridge, suportando a ponte de SOL para Polygon, com uma dedução padrão de 2% em SOL para troca por POL para pagamento de Gas. Funcionalidades mais avançadas incluem Copy Trading, ordens limitadas, monitoramento automático de carteiras-alvo, que requerem um servidor sempre online e assinatura contínua de transações.
Três, Riscos comuns dos bots de negociação no Telegram
Por trás de uma interação de chat conveniente, existem algumas vulnerabilidades de segurança difíceis de evitar:
Primeiro, quase todos os bots armazenam a chave privada do usuário em seus próprios servidores, assinando transações em nome do usuário. Isso significa que, se o servidor for invadido ou ocorrer vazamento de dados por má administração, o atacante pode exportar em massa as chaves privadas e roubar todos os fundos dos usuários de uma só vez. Em segundo lugar, a autenticação depende da conta do Telegram; se o usuário sofrer sequestro de SIM ou perder o dispositivo, o atacante pode controlar a conta do bot sem precisar da frase-semente. Por fim, não há uma confirmação local na etapa — enquanto carteiras tradicionais exigem confirmação do usuário para cada transação, no modo de bot, qualquer falha na lógica do backend pode fazer o sistema transferir dinheiro automaticamente sem o conhecimento do usuário.
Quatro, Particularidades reveladas na documentação da Polycule
Com base no conteúdo da documentação, é possível inferir que o incidente atual e riscos futuros se concentram principalmente em:
Interface de exportação de chaves privadas: /wallet permite que o usuário exporte a chave privada, indicando que o backend armazena dados de chaves reversíveis. Se houver vulnerabilidades como injeção de SQL, interfaces não autorizadas ou vazamento de logs, o atacante pode usar essa funcionalidade para exportar chaves, cenário altamente compatível com o roubo ocorrido.
Possibilidade de SSRF na análise de URLs: o bot incentiva os usuários a enviar links do Polymarket para obter dados de mercado. Se a validação desses links for fraca, um atacante pode falsificar URLs apontando para redes internas ou metadados de serviços na nuvem, fazendo o backend “pisar na armadilha” e roubar credenciais ou configurações.
Lógica de monitoramento do Copy Trading: seguir uma carteira significa que o bot acompanha as operações do alvo. Se os eventos monitorados puderem ser falsificados ou se o sistema não tiver filtros de segurança para as transações do alvo, o usuário que segue pode ser levado a contratos maliciosos, com fundos potencialmente bloqueados ou até roubados diretamente.
Ponte entre blockchains e troca automática de moedas: o processo de trocar automaticamente 2% de SOL por POL envolve taxas de câmbio, slippage, oráculos e permissões de execução. Se esses parâmetros não forem rigorosamente validados, hackers podem ampliar perdas na troca ou transferir o orçamento de Gas. Além disso, a validação de recibos do deBridge, se negligenciada, pode levar a riscos de recarga falsa ou entradas duplicadas.
Cinco, Avisos para a equipe do projeto e usuários
Para a equipe do projeto: podem fazer uma análise técnica completa e transparente antes de restabelecer o serviço; realizar auditorias específicas em armazenamento de chaves, isolamento de permissões e validação de entradas; revisar o controle de acesso ao servidor e o fluxo de publicação de código; implementar confirmações secundárias ou limites para operações críticas, reduzindo danos adicionais.
Para os usuários finais: devem limitar o valor de fundos no bot, retirar lucros prontamente e ativar ao máximo a autenticação de dois fatores do Telegram, gerenciamento de dispositivos independentes e outras medidas de proteção. Antes de receberem compromissos de segurança claros do projeto, é prudente aguardar e evitar investir mais capital.
Seis, Encerramento
O incidente da Polycule reforça a ideia de que, quando a experiência de negociação é comprimida em um comando de chat, as medidas de segurança também precisam evoluir. Por um curto período, bots de negociação no Telegram continuarão sendo uma porta popular para mercados de previsão e Meme Coins, mas esse campo também continuará sendo um alvo para atacantes. Recomendamos que os projetos tratem a segurança como parte do produto, divulgando progressos aos usuários; e que os usuários mantenham a vigilância, não considerando atalhos de chat como uma gestão de ativos sem riscos.
Related Articles
Um CEX disponibiliza transferências temporárias para colaboradores dos Emirados Árabes Unidos, para fazer face ao impacto do conflito no Médio Oriente
Devido ao impacto da situação no Médio Oriente, uma certa CEX ofereceu aos seus funcionários nos Emirados Árabes Unidos a opção de uma transferência temporária para locais como Hong Kong e Tóquio. Embora muitos funcionários tenham escolhido permanecer nos Emirados Árabes Unidos, as operações do negócio da empresa continuam a funcionar normalmente. Esta medida tem como objetivo apoiar os colaboradores. Ao mesmo tempo, o conflito no Médio Oriente já afetou vários eventos e compromissos relacionados com cripto, incluindo atividades e feiras.
GateNews11h atrás
A carteira Phantom avaria em massa! Durante o período de airdrops, o preço das moedas fica desordenado, os saldos ficam a zero, e os utilizadores indignam-se e criticam por “indemnizar com prejuízo”
A carteira Phantom, do ecossistema Solana, registou uma interrupção do serviço durante o período de airdrops, levando a que o preço dos tokens e os saldos das contas fossem exibidos de forma anómala, afetando as transações dos utilizadores. Alguns utilizadores sofreram perdas e exigem compensação. Especialistas em segurança alertam para o risco de ataques de phishing e recomendam que os utilizadores verifiquem os dados on-chain. Embora o problema já tenha sido resolvido, a crise de confiança ainda precisa de ser observada. Este incidente evidencia os desafios dos sistemas de self-custody ao nível da estabilidade e da experiência de utilização.
区块客19h atrás
As leis especiais de Taiwan vão banir as saídas de USDT? Um contabilista anónimo publica e gera pânico; a verdade numa vista geral
Nos últimos dias, surgiram na Internet declarações de um anónimo que se diz contabilista, afirmando que o projecto de lei recentemente aprovado em Taiwan, a «Lei do Projecto dos Serviços de Activos Virtuais», irá proibir a circulação da Tether (USDT) e provocou pânico. Em resposta a estas declarações, o editor-chefe do «Crypto City», Max, afirmou que a interpretação da regulamentação é demasiado pessimista e sublinhou que o objectivo do projecto de lei é estabelecer um mecanismo de conformidade e não um bloqueio total. O artigo apela ao público para encarar com racionalidade os textos de pânico na comunidade: deve escolher operadores legais para efectuar transacções de criptomoedas, de modo a evitar riscos para os fundos e burlas.
区块客19h atrás
Algum CEX perdeu mais de 50% da sua capitalização este ano e desminuiu o quadro em 30%, estando a considerar converter o empréstimo concedido pelos fundadores em capital próprio.
Um importante exchange de criptomoedas viu a sua capitalização diminuir mais de 50%, procedeu a despedimentos de 30% e está a ponderar pedir ao(s) fundador(es) um perdão de vários milhares de milhões de dólares em empréstimos. Teve uma perda de 585 milhões de dólares no ano passado, planeia sair de vários mercados, gestores deixaram os cargos e os irmãos Winklevoss ainda não se pronunciaram sobre se apoiam esta proposta.
GateNews21h atrás
A carteira Phantom bloqueou! Durante o período de airdrop, o preço das moedas ficou confuso, o saldo ficou a zero; os utilizadores criticam furiosamente “compensação por perdas”
A carteira Phantom na rede Solana sofreu uma indisponibilidade de serviço durante o período de airdrops, o que levou a que o preço dos tokens e os saldos das contas fossem apresentados de forma anómala, afetando as transações dos utilizadores. Alguns utilizadores terão sofrido perdas e exigem indemnização. Especialistas em segurança alertaram para o risco de ataques de phishing e recomendaram aos utilizadores que verifiquem os dados na cadeia. Embora o problema já tenha sido resolvido, a crise de confiança ainda precisa de ser acompanhada. Este incidente evidenciou os desafios do auto-custódia em termos de estabilidade do sistema e experiência de utilização.
区块客04-10 13:34
Um CEX oferece opções temporárias de realojamento aos funcionários nos Emirados Árabes Unidos para lidar com conflitos na região
Devido ao impacto da guerra do Irão, uma determinada CEX forneceu a cerca de 1000 trabalhadores dos Emirados Árabes Unidos a opção de realocação temporária para locais como Hong Kong. O negócio nos Emirados Árabes Unidos mantém-se normal, e o serviço aos utilizadores globais não é afetado. Esta medida visa mitigar as perturbações nos criptoativos causadas pelos conflitos regionais.
GateNews04-10 13:03
