Polymarket's Top Trading Bot Polycule Bị Tấn Công, Các Dự Án Thị Trường Dự Đoán Nên Tăng Cường Phòng Ngừa An Ninh Như Thế Nào?

1. Tóm tắt sự kiện

Vào ngày 13 tháng 1 năm 2026, Polycule chính thức xác nhận bot giao dịch Telegram của họ đã bị tấn công bởi hacker, với khoảng 230,000 USD tiền của người dùng bị đánh cắp. Đội ngũ đã nhanh chóng cập nhật trên X: bot đã ngay lập tức bị đưa xuống, bản vá sửa lỗi đang được đẩy nhanh tiến độ, và họ cam kết bồi thường cho người dùng bị ảnh hưởng trên mạng Polygon. Các thông báo liên tiếp từ tối hôm qua đến hôm nay đã tiếp tục làm nóng lên cuộc thảo luận về an ninh trong lĩnh vực bot giao dịch Telegram.

2. Polycule hoạt động như thế nào

Định vị của Polycule rất rõ ràng: cho phép người dùng hoàn tất việc duyệt thị trường, quản lý vị thế và điều phối vốn trên Polymarket ngay trong Telegram. Các mô-đun chính bao gồm:

Mở tài khoản và Bảng điều khiển: `/start` sẽ tự động phân bổ ví Polygon và hiển thị số dư, `/home`, `/help` cung cấp lối vào và hướng dẫn lệnh.

Thị trường và Giao dịch: `/trending`, `/search`, hoặc dán trực tiếp URL Polymarket đều có thể lấy chi tiết thị trường; bot cung cấp đặt lệnh thị trường/giới hạn, hủy lệnh và xem biểu đồ.

Ví và Vốn: `/wallet` hỗ trợ xem tài sản, rút vốn, hoán đổi POL/USDC, xuất khóa riêng tư; `/fund` hướng dẫn quy trình nạp tiền.

Bridge chuỗi chéo: Tích hợp sâu với deBridge, giúp người dùng bridge tài sản từ Solana vào, và mặc định trừ 2% SOL để đổi thành POL dùng cho phí Gas.

Tính năng Nâng cao: `/copytrade` mở giao diện sao chép giao dịch, có thể theo lệnh theo tỷ lệ phần trăm, số tiền cố định hoặc quy tắc tùy chỉnh, và còn có thể thiết lập tạm dừng, sao chép giao dịch ngược, chia sẻ chiến lược và các khả năng mở rộng khác.

Polycule Trading Bot chịu trách nhiệm trò chuyện với người dùng, phân tích lệnh, đồng thời cũng quản lý khóa, ký giao dịch và liên tục theo dõi sự kiện trên chuỗi ở phía backend.

Sau khi người dùng nhập `/start`, backend tự động tạo ví Polygon và lưu giữ khóa riêng tư, sau đó có thể tiếp tục gửi các lệnh như `/buy`, `/sell`, `/positions` để hoàn tất việc kiểm tra thị trường, đặt lệnh, quản lý vị thế, v.v. Bot còn có thể phân tích liên kết web của Polymarket, trực tiếp trả về lối vào giao dịch. Vốn chuỗi chéo dựa vào việc tích hợp deBridge, hỗ trợ bridge SOL sang Polygon, và mặc định trích 2% SOL đổi thành POL để thanh toán phí Gas cho các giao dịch tiếp theo. Các tính năng nâng cao hơn bao gồm Copy Trading, lệnh giới hạn, tự động giám sát ví mục tiêu, v.v., yêu cầu máy chủ phải trực tuyến trong thời gian dài và liên tục ký thay giao dịch.

3. Rủi ro chung của Bot Giao dịch Telegram

Đằng sau sự tương tác thuận tiện kiểu trò chuyện là một số điểm yếu an ninh khó tránh khỏi:

Đầu tiên, hầu hết tất cả các bot đều đặt khóa riêng tư của người dùng trên máy chủ của chính chúng, giao dịch được ký thay trực tiếp bởi backend. Điều này có nghĩa là một khi máy chủ bị tấn công hoặc vô ý làm rò rỉ dữ liệu trong quá trình vận hành, kẻ tấn công có thể xuất hàng loạt khóa riêng tư và cuỗm sạch tiền của tất cả người dùng cùng một lúc. Thứ hai, việc xác thực phụ thuộc vào chính tài khoản Telegram, nếu người dùng bị chiếm đoạt SIM hoặc mất thiết bị, kẻ tấn công có thể kiểm soát tài khoản bot mà không cần nắm giữ cụm từ khôi phục. Cuối cùng, không có bước xác nhận cửa sổ bật lên cục bộ - ví truyền thống yêu cầu người dùng tự xác nhận từng giao dịch, trong khi ở chế độ bot, chỉ cần logic backend có sơ hở, hệ thống có thể tự động chuyển tiền đi mà người dùng hoàn toàn không hay biết.

4. Mặt tấn công đặc thù được tiết lộ qua tài liệu Polycule

Kết hợp với nội dung tài liệu, có thể suy đoán rằng sự cố lần này và các rủi ro tiềm ẩn trong tương lai chủ yếu tập trung vào những điểm sau:

Giao diện xuất khóa riêng tư: Menu `/wallet` cho phép người dùng xuất khóa riêng tư, điều này cho thấy backend lưu trữ dữ liệu khóa có thể đảo ngược. Một khi tồn tại lỗ hổng SQL injection, giao diện chưa được ủy quyền hoặc rò rỉ nhật ký, kẻ tấn công có thể trực tiếp gọi chức năng xuất, tình huống này rất phù hợp với vụ trộm lần này.

Phân tích URL có thể kích hoạt SSRF: Bot khuyến khích người dùng gửi liên kết Polymarket để lấy thông tin thị trường. Nếu đầu vào không được kiểm tra chặt chẽ, kẻ tấn công có thể giả mạo liên kết trỏ đến mạng nội bộ hoặc siêu dữ liệu dịch vụ đám mây, khiến backend chủ động "sa bẫy", từ đó đánh cắp thêm thông tin xác thực hoặc cấu hình.

Logic giám sát của Copy Trading: Sao chép giao dịch có nghĩa là bot sẽ theo dõi và thao tác đồng bộ với ví mục tiêu. Nếu sự kiện được giám sát có thể bị giả mạo, hoặc hệ thống thiếu bộ lọc an toàn cho giao dịch mục tiêu, người dùng sao chép giao dịch có thể bị dẫn vào hợp đồng độc hại, tiền bị khóa hoặc thậm chí bị rút trực tiếp.

Khâu bridge chuỗi chéo và tự động đổi tiền: Quy trình tự động đổi 2% SOL thành POL liên quan đến tỷ giá, trượt giá, oracle và quyền thực thi. Nếu việc kiểm tra các tham số này trong mã không chặt chẽ, hacker có thể khuếch đại tổn thất khi đổi tiền trong quá trình bridge hoặc chuyển hướng ngân sách Gas. Ngoài ra, một khi việc xác minh biên nhận từ deBridge bị thiếu sót, cũng sẽ dẫn đến rủi ro nạp tiền giả hoặc ghi nhận trùng lặp.

5. Lời nhắc nhở cho đội ngũ dự án và người dùng

Những việc đội ngũ dự án có thể làm bao gồm: cung cấp một bản phân tích kỹ thuật đầy đủ và minh bạch trước khi khôi phục dịch vụ; tiến hành kiểm toán chuyên sâu về lưu trữ khóa, phân quyền, kiểm tra đầu vào; sắp xếp lại quy trình kiểm soát truy cập máy chủ và phát hành mã; giới thiệu cơ chế xác nhận lần hai hoặc giới hạn số tiền cho các thao tác quan trọng, giảm thiểu thiệt hại thêm.

Người dùng cuối nên cân nhắc kiểm soát quy mô vốn trong bot, kịp thời rút lãi, và ưu tiên bật xác thực hai yếu tố, quản lý thiết bị độc lập và các biện pháp bảo vệ khác trên Telegram. Trước khi bên dự án đưa ra cam kết an ninh rõ ràng, tốt hơn hết nên chờ đợi và quan sát, tránh bổ sung thêm vốn gốc.

6. Lời cuối

Sự cố của Polycule một lần nữa khiến chúng ta nhận ra: khi trải nghiệm giao dịch được nén thành một câu lệnh trò chuyện, các biện pháp an ninh cũng phải được nâng cấp đồng bộ. Bot giao dịch Telegram trong ngắn hạn vẫn sẽ là lối vào phổ biến cho thị trường dự đoán và meme coin, nhưng lĩnh vực này cũng sẽ tiếp tục là bãi săn của những kẻ tấn công. Chúng tôi khuyến nghị các bên dự án coi việc xây dựng an ninh như một phần của sản phẩm, đồng thời công khai tiến độ với người dùng; người dùng cũng nên cảnh giác, đừng coi phím tắt trò chuyện như một quản gia tài sản không rủi ro.

Chúng tôi, ExVul Security, lâu nay tập trung vào nghiên cứu tấn công và phòng thủ cho bot giao dịch và cơ sở hạ tầng trên chuỗi, có thể cung cấp dịch vụ kiểm toán an ninh, kiểm tra thâm nhập và ứng phó sự cố cho bot giao dịch Telegram. Nếu dự án của bạn đang trong giai đoạn phát triển hoặc sắp ra mắt, vui lòng liên hệ với chúng tôi bất cứ lúc nào, cùng nhau tiêu diệt rủi ro tiềm ẩn trước khi triển khai.

Về chúng tôi - ExVul

ExVul là một công ty an ninh Web3, phạm vi dịch vụ bao gồm kiểm toán hợp đồng thông minh, kiểm toán giao thức blockchain, kiểm toán ví, kiểm tra thâm nhập Web3, tư vấn và lập kế hoạch an ninh. ExVul cam kết nâng cao tính bảo mật tổng thể của hệ sinh thái Web3, luôn đứng ở tuyến đầu nghiên cứu an ninh Web3.