Polymarket's Top Trading Bot Polycule Attacked, How Should Prediction Market Projects Strengthen Security?

特邀专栏作者

2026-01-14 09:33

บทความนี้มีประมาณ 2281 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

On January 13, 2026, Polycule officially confirmed that its Telegram trading bot was hacked, resulting in approximately $230,000 in user assets being compromised. As the bot went offline and compensation promises were announced, the incident quickly sparked industry-wide discussions on the security of Telegram Trading Bots. By examining Polycule's functional structure and design logic, it becomes clear that this was not an isolated failure, but rather the concentrated eruption of long-standing yet underestimated security risks inherent in the trading bot model.

สรุปโดย AI

ขยาย

Core Viewpoint: Telegram trading bots have serious security shortcomings.
Key Factors:
1. Servers centrally store user private keys, making them vulnerable to mass theft.
2. Reliance on Telegram account authentication makes them susceptible to SIM swap attacks.
3. Transactions lack local confirmation, and backend logic vulnerabilities can lead to automatic fund transfers.
Market Impact: Triggered widespread concern about the security of the Telegram Bot sector.
Timeliness Note: Short-term impact.

1. บันทึกเหตุการณ์ย่อ

วันที่ 13 มกราคม 2026 Polycule ยืนยันอย่างเป็นทางการว่าแอปพลิเคชันบอทเทรดบน Telegram ของพวกเขาถูกแฮ็ก โดยมีเงินทุนของผู้ใช้ประมาณ 230,000 ดอลลาร์ถูกขโมย ทีมงานอัปเดตอย่างรวดเร็วบน X: บอทถูกปิดใช้งานทันที แพตช์แก้ไขกำลังดำเนินการอย่างรวดเร็ว และให้คำมั่นว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบบนเครือข่าย Polygon การประกาศหลายรอบตั้งแต่วันที่ผ่านมาจนถึงวันนี้ ทำให้การอภิปรายเกี่ยวกับความปลอดภัยในแทร็กบอทเทรด Telegram ยังคงร้อนแรง

2. Polycule ทำงานอย่างไร

ตำแหน่งของ Polycule ชัดเจน: ให้ผู้ใช้สำรวจตลาด จัดการตำแหน่ง และจัดการเงินทุนบน Polymarket ได้ภายใน Telegram โมดูลหลักประกอบด้วย:

เปิดบัญชีและแผงควบคุม: `/start` จะจัดสรรกระเป๋าเงิน Polygon โดยอัตโนมัติและแสดงยอดคงเหลือ `/home`, `/help` ให้ทางเข้าและคำอธิบายคำสั่ง

ราคาและการซื้อขาย: `/trending`, `/search` หรือการวาง URL ของ Polymarket โดยตรงสามารถดึงข้อมูลรายละเอียดตลาดได้ บอทให้บริการคำสั่งซื้อ/ขายตามราคาตลาด/ราคาที่กำหนด ยกเลิกคำสั่งซื้อ และดูแผนภูมิ

กระเป๋าเงินและเงินทุน: `/wallet` รองรับการดูสินทรัพย์ ถอนเงินทุน การแลกเปลี่ยน POL/USDC และส่งออกคีย์ส่วนตัว `/fund` ให้คำแนะนำเกี่ยวกับขั้นตอนการเติมเงิน

การเชื่อมโยงข้ามเชน: ผสานรวมdeBridge อย่างลึกซึ้ง ช่วยให้ผู้ใช้สามารถบริดจ์สินทรัพย์จาก Solana และหัก 2% ของ SOL โดยค่าเริ่มต้นเพื่อแปลงเป็น POL สำหรับจ่ายค่าธรรมเนียม Gas

ฟังก์ชันขั้นสูง: `/copytrade` เปิดอินเทอร์เฟซการคัดลอกการซื้อขาย สามารถคัดลอกการซื้อขายตามเปอร์เซ็นต์ จำนวนเงินคงที่ หรือกฎที่กำหนดเอง และยังสามารถตั้งค่าการหยุดชั่วคราว การคัดลอกการซื้อขายย้อนกลับ การแบ่งปันกลยุทธ์ และความสามารถในการขยายอื่นๆ

Polycule Trading Bot รับผิดชอบในการสนทนากับผู้ใช้ ตีความคำสั่ง และยังจัดการคีย์ ลายเซ็นธุรกรรม และตรวจสอบเหตุการณ์บนเชนอย่างต่อเนื่องในแบ็กเอนด์

หลังจากผู้ใช้ป้อน `/start` แบ็กเอนด์จะสร้างกระเป๋าเงิน Polygon โดยอัตโนมัติและเก็บรักษาคีย์ส่วนตัว จากนั้นสามารถส่งคำสั่ง `/buy`, `/sell`, `/positions` ต่อไปเพื่อดำเนินการตรวจสอบตลาด สั่งซื้อ จัดการตำแหน่ง และการดำเนินการอื่นๆ บอทยังสามารถแยกวิเคราะห์ลิงก์เว็บของ Polymarket และส่งคืนทางเข้าซื้อขายโดยตรง เงินทุนข้ามเชนอาศัยการเชื่อมต่อกับdeBridge ซึ่งรองรับการบริดจ์ SOL ไปยัง Polygon และโดยค่าเริ่มต้นจะหัก 2% ของ SOL เพื่อแปลงเป็น POL สำหรับจ่ายค่าธรรมเนียม Gas ในการซื้อขายครั้งต่อไป ฟังก์ชันขั้นสูงเพิ่มเติมรวมถึง Copy Trading, คำสั่งซื้อตามราคาที่กำหนด การตรวจสอบกระเป๋าเงินเป้าหมายอัตโนมัติ ฯลฯ ซึ่งต้องการให้เซิร์ฟเวอร์ทำงานออนไลน์เป็นเวลานานและลงนามธุรกรรมแทนอย่างต่อเนื่อง

3. ความเสี่ยงทั่วไปของบอทเทรดบน Telegram

เบื้องหลังการโต้ตอบที่สะดวกสบายผ่านการแชท คือจุดอ่อนด้านความปลอดภัยหลายประการที่ยากจะหลีกเลี่ยง:

ประการแรก บอทเกือบทั้งหมดจะจัดเก็บคีย์ส่วนตัวของผู้ใช้บนเซิร์ฟเวอร์ของตนเอง โดยธุรกรรมจะถูกเซ็นแทนโดยแบ็กเอนด์โดยตรง ซึ่งหมายความว่าหากเซิร์ฟเวอร์ถูกโจมตีหรือข้อมูลรั่วไหลเนื่องจากความประมาทของผู้ดูแลระบบ ผู้โจมตีสามารถส่งออกคีย์ส่วนตัวอย่างเป็นกลุ่มและกวาดล้างเงินทุนของผู้ใช้ทั้งหมดในครั้งเดียว ประการที่สอง การรับรองความถูกต้องขึ้นอยู่กับบัญชี Telegram เอง หากผู้ใช้ประสบกับการขโมยซิมการ์ดหรือสูญเสียอุปกรณ์ ผู้โจมตีสามารถควบคุมบัญชีบอทได้โดยไม่ต้องรู้ seed phrase สุดท้าย ไม่มีขั้นตอนการยืนยันป็อปอัปในเครื่อง – กระเป๋าเงินแบบดั้งเดิมต้องการให้ผู้ใช้ยืนยันด้วยตนเองสำหรับทุกธุรกรรม ในขณะที่ในโหมดบอท หากตรรกะแบ็กเอนด์มีข้อผิดพลาด ระบบอาจโอนเงินออกโดยอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว

4. จุดโจมตีเฉพาะที่เปิดเผยโดยเอกสารของ Polycule

เมื่อพิจารณาจากเนื้อหาเอกสาร สามารถสันนิษฐานได้ว่าอุบัติเหตุครั้งนี้และความเสี่ยงที่อาจเกิดขึ้นในอนาคตส่วนใหญ่集中在ประเด็นต่อไปนี้:

อินเทอร์เฟซการส่งออกคีย์ส่วนตัว: เมนู `/wallet` อนุญาตให้ผู้ใช้ส่งออกคีย์ส่วนตัว ซึ่งบ่งชี้ว่าแบ็กเอนด์จัดเก็บข้อมูลคีย์ที่สามารถย้อนกลับได้ หากมีช่องโหว่ SQL injection อินเทอร์เฟซที่ไม่ได้อนุญาต หรือการรั่วไหลของบันทึก ผู้โจมตีสามารถเรียกใช้ฟังก์ชันการส่งออกโดยตรง ซึ่งสอดคล้องกับสถานการณ์การขโมยครั้งนี้เป็นอย่างมาก

การแยกวิเคราะห์ URL อาจกระตุ้น SSRF: บอทสนับสนุนให้ผู้ใช้ส่งลิงก์ Polymarket เพื่อรับข้อมูลราคา หากอินพุตไม่ได้รับการตรวจสอบอย่างเข้มงวด ผู้โจมตีสามารถปลอมแปลงลิงก์ที่ชี้ไปยังเครือข่ายภายในหรือเมตาดาต้าของบริการคลาวด์ ทำให้แบ็กเอนด์ "ตกหลุมพราง" อย่างแข็งขัน เพื่อขโมยข้อมูลรับรองหรือการกำหนดค่าเพิ่มเติม

ตรรกะการตรวจสอบของ Copy Trading: การคัดลอกการซื้อขายหมายความว่าบอทจะดำเนินการตามกระเป๋าเงินเป้าหมายอย่างซิงโครไนซ์ หากเหตุการณ์ที่ตรวจสอบสามารถปลอมแปลงได้ หรือระบบขาดการกรองความปลอดภัยสำหรับธุรกรรมเป้าหมาย ผู้ใช้ที่คัดลอกการซื้อขายอาจถูกนำไปสู่สัญญาที่เป็นอันตราย โดยที่เงินทุนถูกล็อคหรือถูกดูดออกโดยตรง

ขั้นตอนการเชื่อมโยงข้ามเชนและการแลกเปลี่ยนเหรียญอัตโนมัติ: กระบวนการแปลง 2% ของ SOL เป็น POL โดยอัตโนมัติเกี่ยวข้องกับอัตราแลกเปลี่ยน สลิปเพจ ออราเคิล และสิทธิ์ในการดำเนินการ หากการตรวจสอบพารามิเตอร์เหล่านี้ในโค้ดไม่เข้มงวดพอ แฮ็กเกอร์อาจขยายการสูญเสียจากการแลกเปลี่ยนหรือโอนงบประมาณ Gas ในระหว่างการบริดจ์ นอกจากนี้ หากการตรวจสอบใบเสร็จรับเงินจาก deBridge ไม่เพียงพอ อาจนำไปสู่ความเสี่ยงของการเติมเงินปลอมหรือการบันทึกซ้ำ

5. คำเตือนสำหรับทีมโครงการและผู้ใช้

สิ่งที่ทีมโครงการสามารถทำได้ รวมถึง: จัดส่งการวิเคราะห์ทางเทคนิคที่สมบูรณ์และโปร่งใสก่อนฟื้นฟูบริการ ดำเนินการตรวจสอบความปลอดภัยเฉพาะสำหรับการจัดเก็บคีย์ การแยกสิทธิ์ การตรวจสอบอินพุต ปรับปรุงกระบวนการควบคุมการเข้าถึงเซิร์ฟเวอร์และการเผยแพร่โค้ด นำกลไกการยืนยันซ้ำหรือการจำกัดจำนวนสำหรับการดำเนินการที่สำคัญ เพื่อลดความเสียหายเพิ่มเติม

ผู้ใช้ปลายทางควร พิจารณาควบคุมขนาดเงินทุนในบอท ถอนกำไรออกทันที และเปิดใช้งานการป้องกันเช่นการยืนยันสองขั้นตอนของ Telegram การจัดการอุปกรณ์แยกต่างหาก เป็นต้น ก่อนที่ฝ่ายโครงการจะให้คำมั่นสัญญาด้านความปลอดภัยที่ชัดเจน อาจเป็นการดีที่จะรอดูและหลีกเลี่ยงการเพิ่มเงินทุนหลัก

6. บทส่งท้าย

อุบัติเหตุของ Polycule ทำให้เราตระหนักอีกครั้งว่า: เมื่อประสบการณ์การซื้อขายถูกบีบอัดเป็นคำสั่งแชทเดียว มาตรการความปลอดภัยก็ต้องได้รับการอัปเกรดควบคู่กันไป บอทเทรดบน Telegram จะยังคงเป็นทางเข้าที่ได้รับความนิยมสำหรับตลาดทำนายและเหรียญ Meme ในระยะสั้น แต่พื้นที่นี้จะยังคงเป็นสนามล่าของผู้โจมตีต่อไป เราแนะนำให้ฝ่ายโครงการพิจารณาการสร้างความปลอดภัยเป็นส่วนหนึ่งของผลิตภัณฑ์ และเปิดเผยความคืบหน้าให้ผู้ใช้ทราบพร้อมกัน ผู้ใช้ควรตื่นตัวและไม่ควรมองว่าคีย์ลัดแชทเป็นผู้จัดการสินทรัพย์ที่ไร้ความเสี่ยง

เราที่ ExVul Security มุ่งเน้นการวิจัยด้านการโจมตีและการป้องกันสำหรับบอทเทรดและโครงสร้างพื้นฐานบนเชนในระยะยาว สามารถให้บริการตรวจสอบความปลอดภัย การทดสอบการเจาะระบบ และการตอบสนองเหตุฉุกเฉินสำหรับบอทเทรดบน Telegram หากโครงการของคุณกำลังอยู่ในขั้นตอนการพัฒนาหรือเตรียมเปิดตัว ยินดีต้อนรับการติดต่อกับเราได้ทุกเวลา เพื่อร่วมกันกำจัดความเสี่ยงที่อาจเกิดขึ้นก่อนที่จะดำเนินการ

เกี่ยวกับเรา ExVul

ExVul เป็นบริษัทความปลอดภัย Web3 ที่ให้บริการครอบคลุมการตรวจสอบสัญญาอัจฉริยะ การตรวจสอบโปรโตคอลบล็อกเชน การตรวจสอบกระเป๋าเงิน การทดสอบการเจาะระบบ Web3 การให้คำปรึกษาด้านความปลอดภัยและการวางแผน ExVul มุ่งมั่นที่จะยกระดับความปลอดภัยโดยรวมของระบบนิเวศ Web3 และยืนอยู่แถวหน้าของการวิจัยด้านความปลอดภัย Web3 เสมอมา

ความปลอดภัย

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily