Le bot de trading de niveau supérieur Polycule sur Polymarket a été attaqué. Comment les projets de marché de prédiction peuvent-ils assurer leur sécurité ?

null 一、Event Flash

Le 13 janvier 2026, Polycule a confirmé que son robot de trading Telegram avait été victime d’une attaque par des hackers, avec environ 230 000 dollars de fonds utilisateur volés. L’équipe a rapidement mis à jour X : le robot a été mis hors ligne, un correctif a été déployé en urgence, et elle a promis que les utilisateurs affectés du côté Polygon seraient indemnisés. Depuis hier soir jusqu’à aujourd’hui, plusieurs annonces ont alimenté la discussion sur la sécurité dans le domaine des robots de trading Telegram.

二、Comment fonctionne Polycule

La position de Polycule est très claire : permettre aux utilisateurs de naviguer, gérer leurs positions et déplacer leurs fonds sur Polymarket directement via Telegram. Les modules principaux incluent :

Ouverture de compte et tableau de bord : /start attribue automatiquement un portefeuille Polygon et affiche le solde, /home et /help offrent des accès et des instructions.

Marché et trading : /trending, /search, ou coller directement l’URL Polymarket permettent d’obtenir les détails du marché ; le robot propose des ordres au marché / limite, l’annulation d’ordres et la visualisation de graphiques.

Portefeuille et fonds : /wallet permet de consulter les actifs, retirer des fonds, échanger POL/USDC, exporter la clé privée ; /fund guide le processus de recharge.

Pont inter-chaînes : intégration profonde avec deBridge, aidant les utilisateurs à transférer des actifs depuis Solana, avec une déduction par défaut de 2% en SOL pour échanger contre POL pour le Gas.

Fonctionnalités avancées : /copytrade ouvre l’interface de copie de trading, permettant de suivre selon un pourcentage, un montant fixe ou des règles personnalisées, avec options de pause, de contre-sens ou de partage de stratégies.

Le Polycule Trading Bot dialogue avec l’utilisateur, analyse les commandes, gère en arrière-plan les clés, signe les transactions et surveille en continu les événements sur la chaîne.

Après avoir saisi /start, le backend génère automatiquement un portefeuille Polygon et conserve la clé privée. Ensuite, l’utilisateur peut continuer à envoyer des commandes comme /buy, /sell, /positions pour consulter, trader ou gérer ses positions. Le robot peut aussi analyser des liens web Polymarket pour fournir directement le point d’entrée au trading. Le transfert inter-chaînes repose sur deBridge, supportant le pontage de SOL vers Polygon, avec une déduction par défaut de 2% en SOL converti en POL pour payer le Gas. Les fonctionnalités avancées incluent Copy Trading, ordres limités, surveillance automatique de portefeuilles cibles, nécessitant un serveur en ligne en permanence pour signer les transactions.

三、Risques communs des robots de trading Telegram

Derrière une interaction conviviale en mode chat, se cachent plusieurs vulnérabilités de sécurité difficiles à éviter :

Premièrement, presque tous les robots stockent la clé privée des utilisateurs sur leurs serveurs, et signent les transactions en leur nom. Cela signifie qu’en cas de piratage du serveur ou de fuite accidentelle de données, un attaquant peut exporter en masse les clés privées et dérober tous les fonds des utilisateurs en une seule fois. Deuxièmement, l’authentification repose sur le compte Telegram lui-même : si l’utilisateur est victime d’un détournement de SIM ou perd son appareil, l’attaquant peut contrôler le robot sans connaître la phrase de récupération. Enfin, il n’y a pas de confirmation locale par popup — contrairement aux portefeuilles traditionnels où chaque transaction doit être confirmée manuellement —, dans le mode robot, une erreur dans la logique backend peut entraîner un transfert automatique de fonds sans que l’utilisateur en ait conscience.

四、Les vulnérabilités spécifiques révélées par la documentation de Polycule

En combinant le contenu de la documentation, on peut supposer que cet incident et les risques futurs potentiels se concentrent principalement sur les points suivants :

Interface d’exportation de la clé privée : /wallet permet aux utilisateurs d’exporter leur clé privée, ce qui indique que le backend stocke des données de clés réversibles. En cas d’injection SQL, d’API non autorisées ou de fuite dans les logs, un attaquant pourrait exploiter cette fonction pour exporter directement la clé, ce qui correspond fortement à la scène du vol actuel.

Analyse d’URL pouvant déclencher SSRF : le robot encourage l’utilisateur à soumettre des liens Polymarket pour obtenir des informations de marché. Si la validation de ces entrées est insuffisante, un attaquant peut falsifier des liens pointant vers des métadonnées internes ou des services cloud, provoquant une erreur côté backend, permettant de voler des identifiants ou de manipuler la configuration.

Logique d’écoute du Copy Trading : suivre un portefeuille cible implique que le robot synchronise ses opérations. Si les événements écoutés peuvent être falsifiés ou si la filtration de sécurité est insuffisante, l’utilisateur suivant pourrait être entraîné dans des contrats malveillants, avec un risque de verrouillage ou de vol direct des fonds.

Pont inter-chaînes et échange automatique : le processus d’échange automatique de 2% de SOL en POL dépend des taux de change, du slippage, des oracles et des permissions d’exécution. Si la validation de ces paramètres est laxiste, un hacker pourrait amplifier les pertes lors du pontage ou détourner le budget Gas. De plus, une validation insuffisante des reçus de deBridge pourrait entraîner des risques de rechargements frauduleux ou de double comptabilisation.

五、Recommandations pour l’équipe projet et les utilisateurs

L’équipe peut notamment : fournir un bilan technique complet et transparent avant la reprise du service ; réaliser des audits spécifiques sur le stockage des clés, la séparation des permissions, la validation des entrées ; revoir les contrôles d’accès serveur et le processus de déploiement ; introduire une double confirmation ou des limites pour les opérations critiques afin de réduire les dommages potentiels.

Les utilisateurs finaux doivent envisager de limiter le montant de fonds dans le robot, retirer rapidement leurs gains, et activer en priorité la double authentification Telegram, la gestion sur appareils séparés, etc. Avant que le projet ne fasse des engagements de sécurité clairs, il vaut mieux attendre et éviter d’ajouter des fonds.

六、Postface

L’incident de Polycule rappelle une fois de plus : lorsque l’expérience de trading se résume à une commande chat, les mesures de sécurité doivent aussi évoluer. Les robots de trading Telegram resteront à court terme une porte d’entrée populaire pour les marchés de prédiction et les Meme coins, mais cette zone continuera d’être une cible privilégiée pour les attaquants. Nous recommandons aux projets de considérer la sécurité comme une partie intégrante du produit, en communiquant régulièrement sur l’avancement ; les utilisateurs doivent aussi rester vigilants, ne pas considérer la messagerie comme un gestionnaire d’actifs sans risque.

Chez ExVul Security, nous nous concentrons depuis longtemps sur la recherche en attaque et défense des robots de trading et des infrastructures blockchain, et proposons des audits de sécurité, des tests d’intrusion et des services de réponse aux incidents pour les robots Telegram. Si votre projet est en phase de développement ou de lancement, n’hésitez pas à nous contacter pour éliminer ensemble les risques potentiels avant leur déploiement.

À propos de nous ExVul

ExVul est une société de sécurité Web3, spécialisée dans l’audit de contrats intelligents, l’audit de protocoles blockchain, la sécurité de portefeuilles, les tests d’intrusion Web3, le conseil en sécurité et la planification. ExVul s’engage à renforcer la sécurité globale de l’écosystème Web3, en restant à la pointe de la recherche en sécurité Web3.