تم مهاجمة بوت التداول من المستوى الأعلى Polycule على Polymarket، كيف يمكن لمشاريع سوق التوقعات أن تتخذ إجراءات أمنية فعالة

المؤلف: شركة ExVul Security، شركة أمن Web3

أولاً، ملخص الحدث

في 13 يناير 2026، أكد فريق Polycule رسميًا تعرض روبوت التداول الخاص بهم على Telegram لهجوم من قبل قراصنة، حيث تم سرقة حوالي 230,000 دولار من أموال المستخدمين. قام الفريق بسرعة بتحديث على X: حيث تم إيقاف الروبوت على الفور، وتم دفع تصحيح سريع، ووعدوا بتعويض المستخدمين المتأثرين على جانب Polygon. من خلال عدة إعلانات منذ الليلة الماضية وحتى اليوم، استمرت مناقشات أمان روبوتات التداول على Telegram في التصاعد.

ثانيًا، كيف يعمل Polycule

تحديد موقع Polycule واضح جدًا: يتيح للمستخدمين إتمام تصفح السوق، إدارة المراكز، وتنسيق الأموال على Polymarket عبر Telegram. تشمل الوحدات الرئيسية:

فتح الحساب ولوحة التحكم: /start يخصص تلقائيًا محفظة Polygon ويعرض الرصيد، و /home، /help توفر مداخل وتعليمات للأوامر.

السوق والتداول: /trending، /search، ولصق رابط Polymarket مباشرة يمكنها سحب تفاصيل السوق؛ يوفر الروبوت أوامر السوق/الحد، إلغاء الأوامر، وعرض الرسوم البيانية.

المحفظة والأموال: /wallet يدعم عرض الأصول، سحب الأموال، تبادل POL/USDC، وتصدير المفتاح الخاص؛ /fund يوجه لعملية الشحن.

الجسر العابر للسلاسل: مدمج بشكل عميق مع deBridge، لمساعدة المستخدمين على جسر الأصول من Solana، مع خصم افتراضي بنسبة 2% من SOL لتحويله إلى POL لاستخدامه في الغاز.

وظائف متقدمة: /copytrade يفتح واجهة نسخ التداول، يمكن اتباع الصفقات بنسبة مئوية، مبلغ ثابت، أو قواعد مخصصة، كما يمكن إعداد إيقاف، عكس النسخ، مشاركة الاستراتيجيات، وغيرها من القدرات الموسعة.

روبوت تداول Polycule مسؤول عن التفاعل مع المستخدمين، تحليل الأوامر، إدارة المفاتيح في الخلفية، توقيع المعاملات، ومراقبة الأحداث على السلسلة بشكل مستمر.

عند إدخال المستخدم /start، يتم تلقائيًا إنشاء محفظة Polygon وتخزين المفتاح الخاص، ثم يمكنه الاستمرار في إرسال أوامر مثل /buy، /sell، /positions لإتمام عمليات التحقق، الطلب، وإدارة المراكز. يمكن للروبوت أيضًا تحليل روابط صفحات Polymarket والرد مباشرة على مدخلات التداول. أما الأموال العابرة للسلاسل فهي تعتمد على دمج deBridge، لدعم جسر SOL إلى Polygon، مع خصم افتراضي بنسبة 2% من SOL لتحويله إلى POL لدفع رسوم الغاز في التداولات اللاحقة. تشمل الوظائف المتقدمة نسخ التداول، أوامر الحد، والمراقبة التلقائية للمحفظة المستهدفة، وتتطلب خادمًا متصلًا بشكل دائم وتوقيع معاملات مستمر.

ثالثًا، المخاطر العامة لروبوتات التداول على Telegram

وراء التفاعل السهل والدردشات، توجد عدة نقاط ضعف أمنية يصعب تجنبها:

أولًا، تقريبًا جميع الروبوتات تخزن المفاتيح الخاصة للمستخدمين على خوادمها، وتقوم بالتوقيع على المعاملات نيابة عن المستخدمين. هذا يعني أنه في حال تم اختراق الخادم أو تسرب البيانات بسبب خطأ في الصيانة، يمكن للمهاجمين تصدير المفاتيح الخاصة بشكل جماعي وسرقة أموال جميع المستخدمين دفعة واحدة. ثانيًا، تعتمد عملية التوثيق على حساب Telegram نفسه، فإذا تعرض المستخدم لسرقة بطاقة SIM أو فقد الجهاز، يمكن للمهاجمين السيطرة على حساب الروبوت دون الحاجة إلى معرفة عبارة الاسترداد. وأخيرًا، لا توجد نافذة تأكيد محلية لكل عملية — فالمحافظ التقليدية تتطلب تأكيد المستخدم لكل معاملة، بينما في وضع الروبوت، إذا حدث خلل في المنطق الخلفي، قد يتم تحويل الأموال تلقائيًا دون علم المستخدم.

رابعًا، التحليل من وثائق Polycule يكشف عن نقاط هجوم خاصة

بالنظر إلى محتوى الوثائق، يمكن الافتراض أن الحدث الحالي والمخاطر المحتملة في المستقبل تتركز في النقاط التالية:

واجهة تصدير المفتاح الخاص: /wallet تتيح للمستخدمين تصدير المفاتيح الخاصة، مما يدل على أن البيانات المخزنة في الخلفية قابلة للاسترجاع. إذا حدث هجوم SQL injection، أو واجهة غير مصرح بها، أو تسرب سجلات، يمكن للمهاجمين استدعاء وظيفة التصدير مباشرة، وهو سيناريو يتطابق بشكل كبير مع عملية السرقة الحالية.

احتمالية استغلال URL في هجمات SSRF: يشجع الروبوت المستخدمين على تقديم روابط Polymarket للحصول على السوق. إذا لم يتم التحقق بشكل صارم من المدخلات، يمكن للمهاجمين تزوير روابط تشير إلى الشبكة الداخلية أو بيانات وصفية للخدمات السحابية، مما يسمح للخلفية ب “الوقوع في الفخ”، وسرقة بيانات الاعتماد أو الإعدادات.

منطق مراقبة نسخ التداول: النسخ يعني أن الروبوت يتابع عمليات المحفظة المستهدفة. إذا تم تزوير الأحداث المراقبة، أو كانت هناك نقص في التحقق الأمني من المعاملات المستهدفة، قد يُجبر المستخدمون على التفاعل مع عقود خبيثة، مما يؤدي إلى حجز الأموال أو سرقتها مباشرة.

الجسور العبرية وتبادل العملات التلقائي: عملية تحويل 2% من SOL إلى POL تتعلق بأسعار الصرف، والانزلاق السعري، والبيانات من أوثوقي، وصلاحيات التنفيذ. إذا لم تكن هناك مراجعة صارمة لهذه المعايير في الكود، قد يستغل المهاجمون ذلك لزيادة خسائر التحويل أو سرقة ميزانية الغاز. بالإضافة إلى ذلك، إذا كانت هناك ثغرات في التحقق من استلام deBridge، قد يؤدي ذلك إلى عمليات شحن زائفة أو تكرار الإدخالات.

خامسًا، تذكيرات للمشروع والمستخدمين

ما يمكن أن يفعله فريق المشروع يشمل: تقديم مراجعة تقنية كاملة وشفافة قبل استئناف الخدمة؛ تدقيق خاص على تخزين المفاتيح، عزل الصلاحيات، والتحقق من المدخلات؛ إعادة تنظيم التحكم في الوصول إلى الخوادم وعمليات إصدار الكود؛ وإضافة آليات تأكيد ثانوية أو حدود على العمليات الحرجة لتقليل الضرر المحتمل.

أما المستخدمون النهائيون، فيجب عليهم التحكم في حجم الأموال الموجودة في الروبوت، وسحب الأرباح بشكل منتظم، وتفعيل التحقق الثنائي على Telegram، وإدارة الأجهزة بشكل مستقل، واعتماد تدابير حماية أخرى. قبل أن تقدم المشاريع وعود أمان واضحة، من الأفضل الانتظار وتجنب إيداع المزيد من الأموال.

سادسًا، الخاتمة

حادثة Polycule تذكرنا مرة أخرى: عندما يتم ضغط تجربة التداول في أمر دردشة واحد، يجب أن تتواكب إجراءات الأمان. لا تزال روبوتات التداول على Telegram في المدى القصير بوابة شعبية للسوق التنبئي والعملات الميم، لكن هذا المجال سيظل هدفًا للمهاجمين. نوصي المشاريع بأن يجعلوا بناء الأمان جزءًا من المنتج، وأن يعلنوا عن التقدم بشكل شفاف للمستخدمين؛ كما ينبغي للمستخدمين أن يظلوا يقظين، وألا يثقوا بشكل أعمى في الاختصارات الدردشية كمدير أصول بدون مخاطر.