作者:ExVul Security,Web3安全公司
一、事件速记
2026 年 1 月 13 日,Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击,约 23 万美元用户资金被盗。团队在 X 上快速更新:机器人随即下线,修复补丁火速推进,并承诺 Polygon 端的受影响用户将获赔付。从昨晚到今天的几轮通告,让 Telegram 交易机器人赛道的安全讨论持续升温。
二、Polycule 如何运转
Polycule 的定位很清晰:让用户在 Telegram 完成 Polymarket 上的市场浏览、仓位管理与资金调度。主要模块包括:
开户与面板:/start 会自动分配 Polygon 钱包并展示余额,/home、/help 提供入口与指令说明。
行情与交易:/trending、/search、直接粘贴 Polymarket URL 都能拉取市场详情;机器人提供市价/限价下单、订单取消与图表查看。
钱包与资金:/wallet 支持查看资产、提取资金、POL/USDC 互换、导出私钥;/fund 指导充值流程。
跨链桥接:深度集成deBridge,帮助用户从 Solana 桥入资产,并默认扣取 2% SOL 兑换成 POL 用于 Gas。
高级功能: /copytrade 打开复制交易界面,可按百分比、固定额度或自定义规则跟单,还能设置暂停、反向跟单、策略分享等扩展能力。
Polycule Trading Bot 负责与用户对话、解析指令,也在后台管理密钥、签名交易并持续监听链上事件。
用户输入 /start 后,后台自动生成 Polygon 钱包并保管私钥,随后可以继续发送 /buy、/sell、/positions 等命令完成查盘、下单、管理仓位等操作。机器人还能解析 Polymarket 的网页链接,直接返回交易入口。跨链资金则靠接入deBridge,支持把 SOL 桥接到 Polygon,并且默认抽出 2% SOL 换成 POL 供后续交易支付 Gas。更高级的功能包括 Copy Trading、限价单、自动监控目标钱包等,需要服务端长时间在线并持续代签交易。
三、Telegram 交易机器人的共性风险
便利的聊天式交互背后,是几个很难规避的安全短板:
首先,几乎所有机器人都会把用户私钥放在自己的服务器上,交易由后台直接代签。这意味着一旦服务器被攻破或者运维不慎泄露数据,攻击者就能批量导出私钥,把所有用户的资金一次性卷走。其次,认证依赖 Telegram 账号本身,若用户遭遇 SIM 卡劫持或设备丢失,攻击者无需掌握助记词就能控制机器人账户。最后,没有本地弹窗确认这一步——传统钱包每笔交易都需要用户亲自确认,而在机器人模式下,只要后台逻辑出了纰漏,系统就可能在用户毫不知情的情况下自动把钱转走。
四、Polycule 文档透露的特有攻面
结合文档内容,可以推测本次事件和未来潜在风险主要集中在以下几点:
私钥导出接口:/wallet 菜单允许用户导出私钥,说明后台保存的是可逆密钥数据。一旦存在 SQL 注入、未授权接口或日志泄漏,攻击者便可直接调用导出功能,场景与此次被盗高度吻合。
**URL 解析可能触发 SSRF:**机器人鼓励用户提交 Polymarket 链接获取行情。如果输入未经严密校验,攻击者可以伪造指向内网或云服务元数据的链接,让后台主动“踩坑”,进一步窃取凭证或配置。
**Copy Trading 的监听逻辑:**复制交易意味着机器人会跟随目标钱包同步操作。如果监听到的事件可以被伪造,或者系统缺乏对目标交易的安全过滤,跟单用户就有可能被带入恶意合约,资金被锁定甚至被直接抽走。
**跨链与自动换币环节:**自动把 2% SOL 换成 POL 的流程涉及汇率、滑点、预言机和执行权限。如果代码中对这些参数的校验不严密,黑客可能在桥接时放大换汇损失或转移 Gas 预算。另外,一旦对 deBridge 回执的验证有所欠缺,也会导致虚假充值或重复入账的风险。
五、对项目团队与用户的提醒
项目团队可以做的事情包括:在恢复服务前交付一份完整透明的技术复盘;对密钥存储、权限隔离、输入校验进行专项审计;重新梳理服务器访问控制和代码发布流程;为关键操作引入二次确认或限额机制,降低进一步伤害。
终端用户则应考虑控制在机器人中的资金规模,及时把盈利提走,并优先开启 Telegram 的双重验证、独立设备管理等防护手段。在项目方给出明确的安全承诺之前,不妨先观望,避免追加本金。
六、后记
Polycule 的事故让人再次意识到:当交易体验被压缩成一句聊天命令时,安全措施也得同步升级。Telegram 交易机器人短期内仍会是预测市场和 Meme 币的热门入口,但这片领域也会持续成为攻击者的狩猎场。我们建议项目方把安全建设当作产品的一部分,同步向用户公开进展;用户也应保持警觉,别把聊天快捷键当成无风险的资产管家。
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Fantasy.top Скандал с выводом средств: ангельский инвестор обвиняет в пропаже, основатель утверждает, что не потратил ни копейки
Основатель Fantasy.top опроверг обвинения в возврате средств ангельским инвесторам, подчеркнув, что компания работает на доходы от продукта в течение двух лет и не использовала средства инвесторов. Некоторые инвесторы заявили, что не получили ожидаемых финансовых отчетов и требуют ответственности от основателя. Платформа ранее получала положительные отзывы, но недавно переключилась на рынок прогнозов, и официальные представители еще не дали дальнейших разъяснений.
MarketWhisper8ч назад
Основатель Fantasy.top опроверг обвинения в "мягком Rug Pull", заявив, что средства инвесторов не были использованы
Fantasy.top сталкивается с обвинениями со стороны ангельских инвесторов, которые утверждают, что команда перестала выходить на связь и отказалась вернуть 50 000 долларов, что вызвало подозрения в "软Rug Pull". Основатель Travis Bickle опроверг эти обвинения, заявив, что компания работает за счет доходов от продукта и не использовала средства инвесторов. Несколько известных инвесторов также сообщили о подобных ситуациях.
GateNews10ч назад
YZi Labs требует от CEA Industries ответить на операционные вопросы и прекратить 20-летнее соглашение о управлении активами с 10X Capital
YZi Labs 11 марта заявил, что CEA Industries сталкивается с операционным кризисом, отсутствием ключевой управленческой команды и инфраструктуры, а также неэффективностью надзора со стороны совета директоров. YZi Labs требует от совета директоров публично отреагировать и провести расследование в отношении директора Ханса Томаса, а также прекратить соглашение с 10X Capital Asset Management.
GateNews22ч назад
Министерство юстиции США расследует попытки Ирана обойти санкции через одну крупную глобальную централизованную биржу (CEX), связанные с более чем 1 миллиардом долларов подозрительных средств
Gate News сообщает, что 11 марта Министерство юстиции США ведет расследование того, как Иран использует одну из крупнейших мировых криптовалютных бирж для обхода американских санкций. Согласно документам компании и информированным источникам, ранее внутри этой биржи было прекращено расследование по поводу подозрительных переводов более 1 миллиарда долларов, которые проходили через платформу и направлялись в сеть, финансирующую поддерживаемую Ираном террористическую организацию (включая йеменские хуситов). Основное внимание уделяется тому, как эти денежные потоки перемещаются на платформе и каким образом связаны с рисками несоблюдения нормативных требований.
GateNews23ч назад
Некоторый CEX нарушил правила против отмывания денег и подвергся санкциям в виде приостановки обслуживания новых клиентов
Южнокорейское агентство по финансовой разведке ввело санкции против某 криптовалютной биржи за разрешение пользователям переводить средства на незарегистрированные зарубежные платформы и за отсутствие процедуры KYC, что может привести к приостановке обслуживания новых клиентов на 6 месяцев. Ранее эта биржа понесла убытки в размере 40 миллиардов долларов в биткоинах из-за операционной ошибки, а также сейчас подвергается расследованию по вопросам регулирования рекламы.
GateNews03-11 02:59
Управление финансов Хунани подтвердило, что Ючжи Финанс полностью обанкротилась, полиция в различных регионах уже открыла каналы регистрации для защиты прав потребителей
Gate News Новости, 10 марта, управление финансов Хунани подтвердило, что компания YuZhi Financial, работающая под названием "торговля виртуальными активами по подписке", полностью "сбежала". В настоящее время полиция в различных регионах открыла каналы для регистрации прав пострадавших пользователей, которые могут зарегистрироваться через официальные каналы.
GateNews03-10 12:46
