Tác giả: ExVul Security, Công ty an ninh Web3
一、Ghi chú nhanh về sự kiện
Ngày 13 tháng 1 năm 2026, chính thức xác nhận của Polycule rằng robot giao dịch Telegram của họ đã bị tấn công bởi hacker, khoảng 230.000 USD vốn của người dùng bị đánh cắp. Nhóm đã cập nhật nhanh trên X: robot ngay lập tức ngừng hoạt động, vá lỗi nhanh chóng và cam kết bồi thường cho các người dùng bị ảnh hưởng trên Polygon. Các thông báo liên tiếp từ tối qua đến nay đã làm nóng thêm cuộc thảo luận về an ninh trong lĩnh vực robot giao dịch Telegram.
二、Cách hoạt động của Polycule
Vị trí của Polycule rất rõ ràng: cho phép người dùng hoàn tất việc duyệt thị trường, quản lý vị thế và điều phối vốn trên Polymarket qua Telegram. Các module chính gồm:
Mở tài khoản và bảng điều khiển: /start tự động phân phối ví Polygon và hiển thị số dư, /home, /help cung cấp các lối vào và hướng dẫn lệnh.
Thị trường và giao dịch: /trending, /search, dán URL Polymarket trực tiếp đều có thể lấy chi tiết thị trường; robot cung cấp đặt lệnh theo giá thị trường/giới hạn, hủy lệnh và xem biểu đồ.
Ví và vốn: /wallet hỗ trợ xem tài sản, rút vốn, hoán đổi POL/USDC, xuất khóa riêng; /fund hướng dẫn quy trình nạp tiền.
Cầu nối chuỗi chéo: tích hợp sâu deBridge, giúp người dùng chuyển tài sản từ Solana qua cầu, mặc định trừ 2% SOL để đổi lấy POL dùng cho phí Gas.
Chức năng nâng cao: /copytrade mở giao diện sao chép giao dịch, có thể theo phần trăm, số cố định hoặc quy tắc tùy chỉnh để theo dõi, còn có thể thiết lập tạm dừng, theo chiều ngược, chia sẻ chiến lược và các khả năng mở rộng khác.
Bot Giao dịch Polycule chịu trách nhiệm trò chuyện với người dùng, phân tích lệnh, quản lý khóa trong nền, ký giao dịch và liên tục theo dõi các sự kiện trên chuỗi.
Sau khi người dùng nhập /start, hệ thống tự động tạo ví Polygon và giữ khóa riêng, sau đó có thể tiếp tục gửi các lệnh /buy, /sell, /positions để kiểm tra, đặt lệnh, quản lý vị thế. Robot còn có thể phân tích liên kết web Polymarket, trực tiếp trả về lối vào giao dịch. Vốn chuỗi chéo dựa vào deBridge, hỗ trợ cầu SOL sang Polygon, đồng thời mặc định trích 2% SOL đổi lấy POL để thanh toán phí Gas. Các chức năng nâng cao như Copy Trading, lệnh giới hạn, giám sát tự động ví mục tiêu yêu cầu server phải luôn trực tuyến và ký giao dịch liên tục.
三、Những rủi ro chung của robot giao dịch Telegram
Phía sau sự tiện lợi của tương tác dạng trò chuyện là một số điểm yếu về an ninh rất khó khắc phục:
Trước hết, hầu hết các robot đều lưu khóa riêng của người dùng trên máy chủ của mình, các giao dịch được ký thay trực tiếp từ nền. Điều này có nghĩa là nếu máy chủ bị tấn công hoặc vận hành không cẩn thận để lộ dữ liệu, kẻ tấn công có thể xuất khẩu hàng loạt khóa riêng, lấy hết toàn bộ vốn của người dùng trong một lần. Thứ hai, xác thực dựa vào tài khoản Telegram, nếu người dùng bị chiếm đoạt SIM hoặc mất thiết bị, kẻ tấn công có thể kiểm soát tài khoản robot mà không cần biết mnemonic. Cuối cùng, không có bước xác nhận bật popup cục bộ — trong ví truyền thống, mỗi giao dịch đều cần người dùng xác nhận trực tiếp, còn trong chế độ robot, chỉ cần logic phía sau có lỗi, hệ thống có thể tự động chuyển tiền mà người dùng không hay biết.
四、Các điểm tấn công đặc thù trong tài liệu của Polycule
Kết hợp nội dung tài liệu, có thể dự đoán rằng sự kiện lần này và các rủi ro tiềm năng trong tương lai chủ yếu tập trung vào các điểm sau:
Giao diện xuất khóa riêng: /wallet cho phép người dùng xuất khóa riêng, cho thấy backend lưu trữ dữ liệu khóa có thể đảo ngược. Nếu xảy ra SQL injection, API không được phép hoặc rò rỉ log, kẻ tấn công có thể trực tiếp gọi chức năng xuất, phù hợp cao với vụ bị đánh cắp lần này.
Phân tích URL có thể kích hoạt SSRF: robot khuyến khích người dùng gửi liên kết Polymarket để lấy dữ liệu thị trường. Nếu đầu vào không được kiểm tra chặt chẽ, kẻ tấn công có thể giả mạo liên kết hướng vào nội bộ hoặc metadata của dịch vụ đám mây, khiến backend tự “dẫm vào bẫy”, từ đó lấy cắp chứng thực hoặc cấu hình.
Logic theo dõi Copy Trading: sao chép giao dịch có nghĩa là robot sẽ theo dõi hoạt động của ví mục tiêu. Nếu các sự kiện này có thể bị giả mạo hoặc hệ thống thiếu lọc an toàn, người theo dõi có thể bị dẫn vào hợp đồng độc hại, vốn bị khóa hoặc bị rút trực tiếp.
Chuỗi chéo và chuyển đổi tự động: quá trình tự động đổi 2% SOL thành POL liên quan đến tỷ giá, trượt giá, oracle và quyền thực thi. Nếu các tham số này không được kiểm tra chặt chẽ, hacker có thể làm tăng thiệt hại khi cầu nối hoặc chuyển đổi, hoặc chuyển ngân sách Gas. Ngoài ra, nếu xác thực phản hồi của deBridge bị thiếu, cũng có thể dẫn đến rủi ro nạp giả hoặc ghi nhận trùng lặp.
五、Những cảnh báo dành cho nhóm dự án và người dùng
Nhóm dự án có thể làm: trước khi khôi phục dịch vụ, cung cấp một bản tổng kết kỹ thuật rõ ràng, minh bạch; kiểm tra chuyên sâu về lưu trữ khóa, cách ly quyền, kiểm tra đầu vào; rà soát lại kiểm soát truy cập máy chủ và quy trình phát hành mã; thêm xác nhận hai bước hoặc giới hạn cho các thao tác quan trọng để giảm thiểu thiệt hại.
Người dùng cuối cần: cân nhắc hạn chế quy mô vốn trong robot, rút lợi nhuận kịp thời, bật xác thực hai yếu tố của Telegram, quản lý thiết bị độc lập để phòng ngừa. Trước khi dự án đưa ra cam kết an toàn rõ ràng, tốt nhất nên chờ đợi, tránh bổ sung vốn.
六、Kết luận
Sự cố của Polycule một lần nữa nhắc nhở chúng ta rằng: khi trải nghiệm giao dịch bị rút ngắn thành một câu lệnh trò chuyện, các biện pháp an ninh cũng phải được nâng cấp đồng bộ. Trong thời gian ngắn, robot giao dịch Telegram vẫn sẽ là cổng vào dự đoán thị trường và Meme coin phổ biến, nhưng lĩnh vực này cũng sẽ tiếp tục là nơi săn mồi của kẻ tấn công. Chúng tôi khuyên các dự án hãy xem an ninh như một phần của sản phẩm, công khai tiến trình cho người dùng; người dùng cũng nên cảnh giác, đừng coi các phím tắt trò chuyện như quản lý tài sản không rủi ro.
Bài viết liên quan
Ví Phantom gặp sự cố nghiêm trọng! Trong thời gian diễn ra đợt Airdrop, giá token bị rối loạn, số dư về 0, người dùng bức xúc mắng “bồi thường tiền”
Ví Phantom trong hệ sinh thái Solana đã gặp gián đoạn dịch vụ trong thời gian diễn ra đợt airdrop, khiến giá token và số dư tài khoản hiển thị bất thường, ảnh hưởng đến giao dịch của người dùng. Một số người dùng vì vậy đã chịu thiệt hại, yêu cầu bồi thường. Các chuyên gia an ninh cảnh báo có rủi ro tấn công lừa đảo (phishing) và khuyên người dùng xác minh dữ liệu trên chuỗi. Mặc dù sự cố đã được khắc phục, nhưng cuộc khủng hoảng niềm tin vẫn cần theo dõi. Sự kiện lần này nêu bật những thách thức của ví tự quản trong tính ổn định hệ thống và trải nghiệm sử dụng.
区块客9giờ trước
Một sàn giao dịch tập trung (CEX) cung cấp tùy chọn di dời tạm thời cho nhân viên tại Các Tiểu vương quốc Ả Rập để ứng phó với xung đột khu vực
Do ảnh hưởng của Chiến tranh Iran, một CEX nào đó đã cung cấp lựa chọn chuyển tạm thời cho khoảng 1000 nhân viên tại Các Tiểu vương quốc Ả Rập Thống nhất sang các địa điểm như Hồng Kông. Hoạt động kinh doanh tại UAE vẫn diễn ra bình thường, dịch vụ hỗ trợ người dùng toàn cầu không bị ảnh hưởng. Biện pháp này nhằm ứng phó với sự gián đoạn của xung đột khu vực đối với các hoạt động tiền mã hóa.
GateNews9giờ trước
Cục Quản lý Chứng khoán Giang Tô cảnh báo “sàn giao dịch giả” ở Hồng Kông về việc niêm yết giả mạo, nhắc nhở cảnh giác huy động vốn bất hợp pháp của cổ phiếu gốc
Tin tức Cổng Tin, ngày 10 tháng 4, Cục Quản lý Chứng khoán tỉnh Giang Tô ban hành cảnh báo rủi ro. Gần đây, một số trung gian trái phép lấy chi phí đóng là có thể dùng chiêu “niêm yết gõ chuông tại Sở Giao dịch Chứng khoán Hồng Kông” để làm mồi, cung cấp các dịch vụ như mã chứng khoán vốn giả, công bố thông tin giả trên website, v.v. Các nền tảng liên quan phần nhiều là “sở giao dịch giả”, và tiến hành bọc ghép việc niêm yết giả thông qua việc giả mạo nghi thức. Một số doanh nghiệp nhân cơ hội đó để chào bán cổ phần cho công chúng, cũng như cổ phần nguyên thủy; hành vi này bị nghi ngờ là huy động vốn trái phép. Cơ quan giám quản nhắc nhở nhà đầu tư: cần xác minh năng lực của tổ chức thông qua trang web chính thức của Ủy ban Chứng khoán Hồng Kông, cảnh giác với các quảng cáo cam kết “bảo toàn vốn” và lợi nhuận “cao”, không chuyển tiền vào tài khoản cá nhân và các nền tảng không phải chính thức; khi phát hiện manh mối thì kịp thời báo cáo và trình báo.
GateNews10giờ trước
Stabble kêu gọi người dùng rút thanh khoản sau cáo buộc liên kết với tin tặc Triều Tiên
Stabble, một sàn giao dịch phi tập trung trên Solana, đã lời khuyên người dùng rút thanh khoản sau khi một cựu giám đốc điều hành bị liên hệ với cáo buộc tấn công mạng của Triều Tiên, khiến tổng giá trị bị khóa của sàn này lao dốc 62%. Sự việc này đã làm nổi bật tầm quan trọng của niềm tin nhân sự trong các nền tảng phi tập trung.
CryptoNewsFlash18giờ trước
Bản tin Gate hằng ngày (10/4): Bộ trưởng Tài chính Mỹ ủng hộ việc trình dự luật CLARITY lên cho Trump; WLFI vay 75 triệu ổn định tiền tệ khiến thị trường hoảng loạn
Bitcoin tăng ngắn hạn lên 71,830 đô la rồi điều chỉnh giảm, Bộ trưởng Tài chính Hoa Kỳ Bessent thúc đẩy Đạo luật CLARITY đang phải đối mặt với thách thức, có thể ảnh hưởng đến việc ban hành quy định về stablecoin. WLFI cho vay 75 triệu đô la stablecoin khiến rủi ro bị thanh lý gia tăng. Chứng khoán Mỹ tăng kỳ vọng nhờ đàm phán hòa bình, tâm lý thị trường lạc quan, nhưng tính thanh khoản dòng tiền vẫn cần được cải thiện.
MarketWhisper21giờ trước
Covenant AI thông báo rút lui khỏi mạng Bittensor, đặt câu hỏi về vấn đề tập trung hóa trong quản trị của nó
Covenant AI công bố rút khỏi mạng Bittensor, đặt vấn đề về tính xác thực của phi tập trung trong cấu trúc quản trị, cho rằng quyền ra quyết định được tập trung và thiếu minh bạch. Gần đây, Covenant AI gặp các hành vi không đúng như việc điều chỉnh quyền quản lý trong quá trình vận hành subnet, cho rằng điều này không phù hợp với các nguyên tắc phi tập trung. Covenant AI sẽ tiếp tục thúc đẩy hướng đào tạo AI phi tập trung.
GateNews21giờ trước
