作者:ExVul Security,Web3安全公司
一、事件速记
2026 年 1 月 13 日,Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击,约 23 万美元用户资金被盗。团队在 X 上快速更新:机器人随即下线,修复补丁火速推进,并承诺 Polygon 端的受影响用户将获赔付。从昨晚到今天的几轮通告,让 Telegram 交易机器人赛道的安全讨论持续升温。
二、Polycule 如何运转
Polycule 的定位很清晰:让用户在 Telegram 完成 Polymarket 上的市场浏览、仓位管理与资金调度。主要模块包括:
开户与面板:/start 会自动分配 Polygon 钱包并展示余额,/home、/help 提供入口与指令说明。
行情与交易:/trending、/search、直接粘贴 Polymarket URL 都能拉取市场详情;机器人提供市价/限价下单、订单取消与图表查看。
钱包与资金:/wallet 支持查看资产、提取资金、POL/USDC 互换、导出私钥;/fund 指导充值流程。
跨链桥接:深度集成deBridge,帮助用户从 Solana 桥入资产,并默认扣取 2% SOL 兑换成 POL 用于 Gas。
高级功能: /copytrade 打开复制交易界面,可按百分比、固定额度或自定义规则跟单,还能设置暂停、反向跟单、策略分享等扩展能力。
Polycule Trading Bot 负责与用户对话、解析指令,也在后台管理密钥、签名交易并持续监听链上事件。
用户输入 /start 后,后台自动生成 Polygon 钱包并保管私钥,随后可以继续发送 /buy、/sell、/positions 等命令完成查盘、下单、管理仓位等操作。机器人还能解析 Polymarket 的网页链接,直接返回交易入口。跨链资金则靠接入deBridge,支持把 SOL 桥接到 Polygon,并且默认抽出 2% SOL 换成 POL 供后续交易支付 Gas。更高级的功能包括 Copy Trading、限价单、自动监控目标钱包等,需要服务端长时间在线并持续代签交易。
三、Telegram 交易机器人的共性风险
便利的聊天式交互背后,是几个很难规避的安全短板:
首先,几乎所有机器人都会把用户私钥放在自己的服务器上,交易由后台直接代签。这意味着一旦服务器被攻破或者运维不慎泄露数据,攻击者就能批量导出私钥,把所有用户的资金一次性卷走。其次,认证依赖 Telegram 账号本身,若用户遭遇 SIM 卡劫持或设备丢失,攻击者无需掌握助记词就能控制机器人账户。最后,没有本地弹窗确认这一步——传统钱包每笔交易都需要用户亲自确认,而在机器人模式下,只要后台逻辑出了纰漏,系统就可能在用户毫不知情的情况下自动把钱转走。
四、Polycule 文档透露的特有攻面
结合文档内容,可以推测本次事件和未来潜在风险主要集中在以下几点:
私钥导出接口:/wallet 菜单允许用户导出私钥,说明后台保存的是可逆密钥数据。一旦存在 SQL 注入、未授权接口或日志泄漏,攻击者便可直接调用导出功能,场景与此次被盗高度吻合。
**URL 解析可能触发 SSRF:**机器人鼓励用户提交 Polymarket 链接获取行情。如果输入未经严密校验,攻击者可以伪造指向内网或云服务元数据的链接,让后台主动“踩坑”,进一步窃取凭证或配置。
**Copy Trading 的监听逻辑:**复制交易意味着机器人会跟随目标钱包同步操作。如果监听到的事件可以被伪造,或者系统缺乏对目标交易的安全过滤,跟单用户就有可能被带入恶意合约,资金被锁定甚至被直接抽走。
**跨链与自动换币环节:**自动把 2% SOL 换成 POL 的流程涉及汇率、滑点、预言机和执行权限。如果代码中对这些参数的校验不严密,黑客可能在桥接时放大换汇损失或转移 Gas 预算。另外,一旦对 deBridge 回执的验证有所欠缺,也会导致虚假充值或重复入账的风险。
五、对项目团队与用户的提醒
项目团队可以做的事情包括:在恢复服务前交付一份完整透明的技术复盘;对密钥存储、权限隔离、输入校验进行专项审计;重新梳理服务器访问控制和代码发布流程;为关键操作引入二次确认或限额机制,降低进一步伤害。
终端用户则应考虑控制在机器人中的资金规模,及时把盈利提走,并优先开启 Telegram 的双重验证、独立设备管理等防护手段。在项目方给出明确的安全承诺之前,不妨先观望,避免追加本金。
六、后记
Polycule 的事故让人再次意识到:当交易体验被压缩成一句聊天命令时,安全措施也得同步升级。Telegram 交易机器人短期内仍会是预测市场和 Meme 币的热门入口,但这片领域也会持续成为攻击者的狩猎场。我们建议项目方把安全建设当作产品的一部分,同步向用户公开进展;用户也应保持警觉,别把聊天快捷键当成无风险的资产管家。
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Кошелёк Phantom полностью завис! Во время аирдропа цена токенов ведёт себя некорректно, баланс обнуляется, пользователи в ярости кричат: «Компенсируйте убытки»
Во время периода эйрдропа в экосистеме Solana произошёл сбой в работе кошелька Phantom, из-за чего наблюдались аномалии в отображении цены токенов и балансов аккаунтов, что повлияло на торговые операции пользователей. Некоторые пользователи из-за этого понесли убытки и требуют компенсации. Специалисты по безопасности предупреждают о риске фишинговых атак и рекомендуют пользователям проверять данные в блокчейне. Хотя проблему уже устранили, кризис доверия всё ещё требует наблюдения. Это событие наглядно подчеркнуло трудности, с которыми сталкивается self-custody-кошелёк в части стабильности системы и пользовательского опыта.
区块客8ч назад
Некоторая CEX предоставляет сотрудникам из ОАЭ временные варианты переезда в ответ на региональный конфликт
Из-за влияния иранской войны одна CEX (централизованная биржа) предоставляет примерно 1000 сотрудникам из ОАЭ варианты временного переезда в такие места, как Гонконг; при этом бизнес в ОАЭ работает нормально, а обслуживание глобальных пользователей не затрагивается. Эта мера направлена на то, чтобы противостоять сбоям в деятельности с криптовалютами, вызванным региональными конфликтами.
GateNews9ч назад
ЦК по ценным бумагам Цзянсу предупреждает о лжебиржах «псевдобирж» в Гонконге с фальшивыми листингами и напоминает о необходимости быть бдительными в отношении незаконного привлечения средств у владельцев первичных акций.
Gate News сообщение, 10 апреля, Цзянсу CSRC опубликовала предупреждение о рисках: в последнее время недобросовестные посредники, используя в качестве приманки идею «вывесить в листинг на Гонконгской фондовой бирже “ударом в гонг”» после уплаты взноса, предлагают услуги, такие как предоставление фиктивных кодов акций, публикации на сайте и т. п. Соответствующие платформы в основном являются «фальшивыми биржами» и упаковывают фиктивное размещение в рамках поддельных церемоний. Некоторые компании, воспользовавшись этим, продвигают среди широкой публики доли в капитале и первичные акции, что может указывать на незаконное привлечение средств. Регулятор напоминает инвесторам: следует проверять квалификацию организаций через официальный сайт Комиссии по ценным бумагам Гонконга, остерегаться рекламных обещаний гарантированной сохранности капитала и высокой доходности, не переводить средства на личные счета и в неофициальные платформы; при обнаружении улик или зацепок следует своевременно сообщать и обращаться в правоохранительные органы.
GateNews9ч назад
Stabble призывает пользователей выводить ликвидность после предполагаемой связи с северокорейским хакером
Stabble, децентрализованная биржа на Solana, посоветовала пользователям вывести ликвидность после того, как бывшего руководителя связали с предполагаемыми взломами со стороны Северной Кореи, из-за чего ее общая стоимость заблокированной ликвидности резко упала на 62%. Этот инцидент подчеркнул важность доверия к персоналу в децентрализованных платформах.
CryptoNewsFlash17ч назад
Дайджест Gate (10 апреля): министр финансов США поддерживает законопроект《CLARITY》для передачи Трампу; WLFI привлекает заимствование в размере 75 миллионов стейблкоинов, вызывая панику
После того как цена биткоина в краткосрочной перспективе выросла до $71,830, а затем откатилась, министр финансов США Бессент продвигает законопроект《CLARITY》, но сталкивается с трудностями, что может повлиять на регулирование стейблкоинов. WLFI выдал в кредит 75 миллионов долларов в виде стейблкоинов, что вызывает риск ликвидации. Акции США растут на ожиданиях мирных переговоров, рыночные настроения оптимистичны, однако ликвидность притока средств по-прежнему требует улучшений.
MarketWhisper20ч назад
Covenant AI объявляет о выходе из сети Bittensor, ставя под сомнение проблему централизации в ее управлении
Covenant AI объявляет о выходе из сети Bittensor, ставит под сомнение подлинность децентрализации ее структуры управления, полагая, что полномочия принятия решений сосредоточены и отсутствует прозрачность. В последнее время при эксплуатации подсетей столкнулась с неправомерными действиями, такими как изменения управленческих прав, и считает, что это не соответствует принципам децентрализации. Covenant AI продолжит продвигать направление децентрализованного ИИ-обучения.
GateNews21ч назад
