null 一、事件速记
2026 年 1 月 13 日、Polycule オフィシャルは Telegram 取引ボットがハッキング被害に遭い、約 23 万ドル相当のユーザ資金が盗まれたことを確認。チームは X 上で迅速にアップデートを行い:ボットは直ちにオフラインになり、修正パッチを急ピッチで推進し、Polygon 側の影響を受けたユーザには補償を約束した。昨夜から今日にかけての数回の告知により、Telegram 取引ボットのセキュリティ議論は引き続き高まりを見せている。
二、Polycule の運用方法
Polycule の位置付けは非常に明確:ユーザが Telegram 上で Polymarket の市場閲覧、ポジション管理、資金調整を完結できるようにすること。主なモジュールは以下の通り:
アカウント作成とダッシュボード:/start で Polygon ウォレットが自動割り当てられ、残高が表示される。/home、/help で入口やコマンド説明を提供。
相場情報と取引:/trending、/search、Polymarket の URL を貼り付けるだけで市場詳細を取得;ボットは市価/指値注文、注文キャンセル、チャート閲覧をサポート。
ウォレットと資金管理:/wallet で資産確認、資金引き出し、POL/USDC の交換、秘密鍵のエクスポートが可能;/fund で入金手順の案内。
クロスチェーンブリッジ:deBridge と深く連携し、ユーザが Solana から資産をブリッジインできるよう支援。デフォルトで 2% の SOL を差し引き、POL に交換して Gas 代に充当。
高度な機能:/copytrade でコピー取引画面を開き、パーセンテージ、固定額、自定义ルールに従った追随や、一時停止、逆追随、戦略共有などの拡張も可能。
Polycule Trading Bot はユーザとの対話や指示の解析を担当し、バックエンドでは秘密鍵の管理、署名取引、チェーン上のイベント監視も行う。
ユーザが /start を入力すると、バックエンドは自動的に Polygon ウォレットを生成し秘密鍵を保持。その後、/buy、/sell、/positions などのコマンドを送信して資産確認や注文、ポジション管理を行える。ボットは Polymarket のウェブリンクも解析し、直接取引入口を返す。クロスチェーン資金は deBridge 経由で SOL を Polygon にブリッジし、デフォルトで 2% の SOL を POL に換えて Gas 支払いに充てる。より高度な機能には Copy Trading、指値注文、自動ターゲットウォレット監視などがあり、これらはサーバ側の長時間稼働と継続的な署名が必要。
三、Telegram 取引ボットの共通リスク
便利なチャット型インターフェースの裏には、避け難いセキュリティの短所がいくつか存在:
まず、ほぼすべてのボットはユーザの秘密鍵を自サーバに保存し、取引はバックエンドが代理署名を行う。このため、サーバが攻撃されたり運用上の不手際でデータ漏洩が起きると、攻撃者は一括で秘密鍵を抽出し、全ユーザの資金を一度に奪取できる。次に、認証は Telegram アカウントに依存しており、SIM カードの乗っ取りや端末紛失があった場合、攻撃者は助記詞を知らなくてもボットアカウントを制御可能。最後に、ローカルのポップアップ確認がない点だ——従来のウォレットは取引ごとにユーザの確認が必要だが、ボットモードでは、バックエンドのロジックに不備があれば、ユーザが気付かないうちに資金が自動的に送金される可能性がある。
四、Polycule ドキュメントに見られる特有の攻撃面
ドキュメント内容を踏まえると、今回の事件と今後の潜在リスクは主に以下のポイントに集中していると推測される:
秘密鍵エクスポートインターフェース:/wallet メニューは秘密鍵のエクスポートを許可しており、バックエンドに可逆的な鍵データが保存されていることを示唆。SQLインジェクションや未認証のインターフェース、ログ漏洩があれば、攻撃者はエクスポート機能を直接呼び出し、今回の盗難と高い整合性を持つシナリオを実現できる。
URL 解析による SSRF の可能性:ボットは Polymarket のリンクを提出して相場情報を取得させる仕組みだが、入力内容の検証が不十分だと、攻撃者は内部ネットワークやクラウドサービスのメタデータに向けた偽のリンクを作成し、バックエンドを「罠にハメ」、証明書や設定情報を窃取したりできる。
Copy Trading の監視ロジック:コピー取引は、ボットがターゲットウォレットの操作を追随する仕組みだが、監視されるイベントが偽造可能だったり、システムに安全なフィルタリングがなければ、追随ユーザは悪意のあるコントラクトに巻き込まれ、資金がロックされたり、直接抜き取られるリスクがある。
クロスチェーンと自動両替の部分:自動的に 2% の SOL を POL に換える流れは、レート、スリッページ、オラクル、実行権限に依存。これらのパラメータの検証が甘いと、ブリッジ時に為替損失を拡大したり、Gas 予算を不正に操作されたりする可能性がある。また、deBridge のレシート検証に不備があれば、虚偽のチャージや重複入金のリスクも生じる。
五、プロジェクトチームとユーザへの注意喚起
プロジェクト側ができることは、サービス再開前に完全かつ透明な技術的振り返りを行うこと、秘密鍵の保存や権限の隔離、入力検証の監査を徹底すること、サーバアクセス制御やコードリリースフローの見直し、重要操作に二次確認や制限を導入し、被害拡大を防ぐこと。
エンドユーザは、ボット内の資金規模をコントロールし、利益を適宜引き出すこと、Telegram の二段階認証や独立端末管理などの防御策を優先的に有効化すべきだ。プロジェクト側から明確なセキュリティ保証が出るまでは、様子見をし、資金の追加投入は控えるのが賢明。
六、後記
Polycule の事故は、再び「取引体験がチャットコマンド一つに圧縮されるとき、安全対策も同時に進化すべき」という教訓を突きつけた。Telegram 取引ボットは短期的には予測市場や Meme コインの主要入口であり続けるだろうが、この分野は攻撃者の狩場となり続ける。私たちは、プロジェクト側にとって安全性の構築を製品の一部とし、進捗を公開することを推奨する。ユーザも警戒心を持ち、チャットのショートカットをリスクのない資産管理と誤認しないよう注意すべきだ。
私たち ExVul Security は、長期にわたり取引ボットとチェーン上インフラの攻防研究に従事し、Telegram 取引ボット向けのセキュリティ監査、ペネトレーションテスト、緊急対応サービスを提供している。あなたのプロジェクトが開発中またはローンチ段階にある場合は、いつでもご連絡ください。潜在的リスクを未然に排除しましょう。
私たちについて ExVul
ExVul は Web3 セキュリティ企業であり、スマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3 ペネトレーションテスト、安全コンサルティングと計画策定をサービスとして提供。Web3 エコシステム全体の安全性向上に尽力し、常に最先端の Web3 セキュリティ研究に立ち向かっている。
13.21K 人気度
30.54K 人気度
7.12K 人気度
22.26K 人気度
122.28K 人気度
Polymarket上Top级Trading Bot Polycule被攻撃、予測市場プロジェクトはどのようにセキュリティ対策を行うべきか?
null 一、事件速记
2026 年 1 月 13 日、Polycule オフィシャルは Telegram 取引ボットがハッキング被害に遭い、約 23 万ドル相当のユーザ資金が盗まれたことを確認。チームは X 上で迅速にアップデートを行い:ボットは直ちにオフラインになり、修正パッチを急ピッチで推進し、Polygon 側の影響を受けたユーザには補償を約束した。昨夜から今日にかけての数回の告知により、Telegram 取引ボットのセキュリティ議論は引き続き高まりを見せている。
二、Polycule の運用方法
Polycule の位置付けは非常に明確:ユーザが Telegram 上で Polymarket の市場閲覧、ポジション管理、資金調整を完結できるようにすること。主なモジュールは以下の通り:
アカウント作成とダッシュボード:/start で Polygon ウォレットが自動割り当てられ、残高が表示される。/home、/help で入口やコマンド説明を提供。
相場情報と取引:/trending、/search、Polymarket の URL を貼り付けるだけで市場詳細を取得;ボットは市価/指値注文、注文キャンセル、チャート閲覧をサポート。
ウォレットと資金管理:/wallet で資産確認、資金引き出し、POL/USDC の交換、秘密鍵のエクスポートが可能;/fund で入金手順の案内。
クロスチェーンブリッジ:deBridge と深く連携し、ユーザが Solana から資産をブリッジインできるよう支援。デフォルトで 2% の SOL を差し引き、POL に交換して Gas 代に充当。
高度な機能:/copytrade でコピー取引画面を開き、パーセンテージ、固定額、自定义ルールに従った追随や、一時停止、逆追随、戦略共有などの拡張も可能。
Polycule Trading Bot はユーザとの対話や指示の解析を担当し、バックエンドでは秘密鍵の管理、署名取引、チェーン上のイベント監視も行う。
ユーザが /start を入力すると、バックエンドは自動的に Polygon ウォレットを生成し秘密鍵を保持。その後、/buy、/sell、/positions などのコマンドを送信して資産確認や注文、ポジション管理を行える。ボットは Polymarket のウェブリンクも解析し、直接取引入口を返す。クロスチェーン資金は deBridge 経由で SOL を Polygon にブリッジし、デフォルトで 2% の SOL を POL に換えて Gas 支払いに充てる。より高度な機能には Copy Trading、指値注文、自動ターゲットウォレット監視などがあり、これらはサーバ側の長時間稼働と継続的な署名が必要。
三、Telegram 取引ボットの共通リスク
便利なチャット型インターフェースの裏には、避け難いセキュリティの短所がいくつか存在:
まず、ほぼすべてのボットはユーザの秘密鍵を自サーバに保存し、取引はバックエンドが代理署名を行う。このため、サーバが攻撃されたり運用上の不手際でデータ漏洩が起きると、攻撃者は一括で秘密鍵を抽出し、全ユーザの資金を一度に奪取できる。次に、認証は Telegram アカウントに依存しており、SIM カードの乗っ取りや端末紛失があった場合、攻撃者は助記詞を知らなくてもボットアカウントを制御可能。最後に、ローカルのポップアップ確認がない点だ——従来のウォレットは取引ごとにユーザの確認が必要だが、ボットモードでは、バックエンドのロジックに不備があれば、ユーザが気付かないうちに資金が自動的に送金される可能性がある。
四、Polycule ドキュメントに見られる特有の攻撃面
ドキュメント内容を踏まえると、今回の事件と今後の潜在リスクは主に以下のポイントに集中していると推測される:
秘密鍵エクスポートインターフェース:/wallet メニューは秘密鍵のエクスポートを許可しており、バックエンドに可逆的な鍵データが保存されていることを示唆。SQLインジェクションや未認証のインターフェース、ログ漏洩があれば、攻撃者はエクスポート機能を直接呼び出し、今回の盗難と高い整合性を持つシナリオを実現できる。
URL 解析による SSRF の可能性:ボットは Polymarket のリンクを提出して相場情報を取得させる仕組みだが、入力内容の検証が不十分だと、攻撃者は内部ネットワークやクラウドサービスのメタデータに向けた偽のリンクを作成し、バックエンドを「罠にハメ」、証明書や設定情報を窃取したりできる。
Copy Trading の監視ロジック:コピー取引は、ボットがターゲットウォレットの操作を追随する仕組みだが、監視されるイベントが偽造可能だったり、システムに安全なフィルタリングがなければ、追随ユーザは悪意のあるコントラクトに巻き込まれ、資金がロックされたり、直接抜き取られるリスクがある。
クロスチェーンと自動両替の部分:自動的に 2% の SOL を POL に換える流れは、レート、スリッページ、オラクル、実行権限に依存。これらのパラメータの検証が甘いと、ブリッジ時に為替損失を拡大したり、Gas 予算を不正に操作されたりする可能性がある。また、deBridge のレシート検証に不備があれば、虚偽のチャージや重複入金のリスクも生じる。
五、プロジェクトチームとユーザへの注意喚起
プロジェクト側ができることは、サービス再開前に完全かつ透明な技術的振り返りを行うこと、秘密鍵の保存や権限の隔離、入力検証の監査を徹底すること、サーバアクセス制御やコードリリースフローの見直し、重要操作に二次確認や制限を導入し、被害拡大を防ぐこと。
エンドユーザは、ボット内の資金規模をコントロールし、利益を適宜引き出すこと、Telegram の二段階認証や独立端末管理などの防御策を優先的に有効化すべきだ。プロジェクト側から明確なセキュリティ保証が出るまでは、様子見をし、資金の追加投入は控えるのが賢明。
六、後記
Polycule の事故は、再び「取引体験がチャットコマンド一つに圧縮されるとき、安全対策も同時に進化すべき」という教訓を突きつけた。Telegram 取引ボットは短期的には予測市場や Meme コインの主要入口であり続けるだろうが、この分野は攻撃者の狩場となり続ける。私たちは、プロジェクト側にとって安全性の構築を製品の一部とし、進捗を公開することを推奨する。ユーザも警戒心を持ち、チャットのショートカットをリスクのない資産管理と誤認しないよう注意すべきだ。
私たち ExVul Security は、長期にわたり取引ボットとチェーン上インフラの攻防研究に従事し、Telegram 取引ボット向けのセキュリティ監査、ペネトレーションテスト、緊急対応サービスを提供している。あなたのプロジェクトが開発中またはローンチ段階にある場合は、いつでもご連絡ください。潜在的リスクを未然に排除しましょう。
私たちについて ExVul
ExVul は Web3 セキュリティ企業であり、スマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3 ペネトレーションテスト、安全コンサルティングと計画策定をサービスとして提供。Web3 エコシステム全体の安全性向上に尽力し、常に最先端の Web3 セキュリティ研究に立ち向かっている。