O bot de trading de nível superior Polycule na Polymarket foi atacado. Como os projetos de mercado de previsão devem garantir a segurança?

null 一、Evento de Resumo Rápido

13 de janeiro de 2026, a Polycule confirmou oficialmente que seu bot de negociação no Telegram foi alvo de um ataque hacker, resultando no roubo de aproximadamente 230 mil dólares em fundos de usuários. A equipe atualizou rapidamente no X: o bot foi retirado do ar, patches de correção foram aceleradamente implementados, e comprometeram-se a compensar os usuários afetados na Polygon. Desde ontem à noite até hoje, várias comunicações mantiveram o debate sobre segurança na pista de bots de negociação no Telegram em alta.

二、Como funciona a Polycule

A proposta da Polycule é clara: permitir que os usuários naveguem por mercados, gerenciem posições e movimentem fundos no Polymarket via Telegram. Os principais módulos incluem:

Abertura de conta e painel: /start aloca automaticamente uma carteira Polygon e exibe o saldo, /home e /help fornecem acesso e instruções.

Dados de mercado e negociação: /trending, /search, ou colar diretamente a URL do Polymarket permite obter detalhes do mercado; o bot oferece ordens de mercado/límite, cancelamento de ordens e visualização de gráficos.

Carteira e fundos: /wallet permite verificar ativos, retirar fundos, trocar POL/USDC, exportar chaves privadas; /fund orienta sobre o processo de recarga.

Ponte entre blockchains: integração profunda com deBridge, ajuda os usuários a transferir ativos de Solana para a rede, com uma taxa padrão de 2% SOL convertidos em POL para Gas.

Funcionalidades avançadas: /copytrade abre a interface de cópia de negociações, permitindo seguir por porcentagem, valor fixo ou regras personalizadas, além de configurações de pausa, reversão de cópia, compartilhamento de estratégias e outras extensões.

O Polycule Trading Bot é responsável por interagir com os usuários, interpretar comandos, gerenciar chaves no backend, assinar transações e monitorar eventos na cadeia.

Após o comando /start, o backend gera automaticamente uma carteira Polygon e mantém a chave privada segura, permitindo que o usuário envie comandos como /buy, /sell, /positions para consultar, negociar e gerenciar posições. O bot também consegue interpretar links do Polymarket, retornando diretamente o link de negociação. Para fundos entre blockchains, utiliza a integração com deBridge, suportando a ponte de SOL para Polygon, com uma dedução padrão de 2% de SOL convertido em POL para pagar Gas. Funcionalidades avançadas incluem Copy Trading, ordens limite, monitoramento automático de carteiras-alvo, que requerem servidor online contínuo e assinatura automática de transações.

三、Riscos comuns dos bots de negociação no Telegram

Por trás de uma interação de chat conveniente, existem várias vulnerabilidades de segurança difíceis de evitar:

Primeiro, quase todos os bots armazenam a chave privada do usuário em seus servidores, assinando transações em nome do usuário. Isso significa que, se o servidor for invadido ou ocorrer vazamento de dados por má administração, atacantes podem exportar em massa as chaves privadas e roubar todos os fundos dos usuários de uma só vez. Segundo, a autenticação depende da conta do Telegram; se o usuário sofrer sequestro de SIM ou perder o dispositivo, o atacante pode controlar a conta do bot sem precisar das frases de recuperação. Por fim, não há confirmação local de cada transação — enquanto carteiras tradicionais exigem confirmação do usuário, no modo de bot, qualquer falha na lógica do backend pode fazer o sistema transferir fundos automaticamente sem o conhecimento do usuário.

四、Vulnerabilidades específicas reveladas na documentação da Polycule

Com base no conteúdo da documentação, podemos inferir que o incidente atual e riscos futuros concentram-se nos seguintes pontos:

Interface de exportação de chaves privadas: o menu /wallet permite exportar chaves privadas, indicando que o backend armazena dados de chaves reversíveis. Se houver vulnerabilidades como injeção SQL, interfaces não autorizadas ou vazamento de logs, atacantes podem usar essa funcionalidade para exportar chaves, o que se alinha ao roubo ocorrido.

Possível exploração de SSRF via URL: o bot incentiva usuários a enviar links do Polymarket para obter dados de mercado. Se a validação de entrada for fraca, atacantes podem falsificar links apontando para redes internas ou metadados de serviços na nuvem, levando o backend a “pisar na armadilha” e roubar credenciais ou configurações.

Lógica de monitoramento do Copy Trading: copiar negociações implica que o bot acompanha operações de carteiras-alvo. Se os eventos monitorados puderem ser falsificados ou se o sistema não aplicar filtros de segurança, usuários que seguem podem ser levados a contratos maliciosos, com fundos potencialmente bloqueados ou roubados diretamente.

Ponte entre blockchains e troca automática de moedas: o processo de converter automaticamente 2% de SOL em POL envolve taxas de câmbio, slippage, oráculos e permissões de execução. Se esses parâmetros não forem rigorosamente validados, hackers podem ampliar perdas na troca ou desviar o orçamento de Gas. Além disso, a validação de recibos do deBridge, se fraca, pode permitir depósitos falsos ou entradas duplicadas.

五、Alertas para a equipe do projeto e usuários

A equipe do projeto pode tomar ações como: fornecer uma análise técnica completa e transparente antes de restabelecer o serviço; realizar auditorias específicas de armazenamento de chaves, isolamento de permissões e validação de entradas; revisar o controle de acesso ao servidor e o fluxo de publicação de código; implementar confirmações secundárias ou limites para operações críticas, reduzindo danos adicionais.

Usuários finais devem limitar o valor de fundos mantidos no bot, retirar lucros prontamente e ativar recursos de segurança como autenticação de dois fatores no Telegram e gerenciamento de dispositivos independentes. Antes de receberem garantias de segurança do projeto, é prudente aguardar e evitar investir mais fundos.

六、Epílogo

O incidente da Polycule reforça a lição de que, ao transformar a experiência de negociação em comandos de chat, as medidas de segurança também precisam evoluir. Bots de negociação no Telegram continuarão sendo uma porta de entrada popular para mercados de previsão e memes, mas esse campo também será alvo constante de atacantes. Recomendamos que os projetos incorporem a segurança como parte do produto, divulgando progressos aos usuários; e que os usuários mantenham vigilância, não considerando atalhos de chat como garantia de ativos sem risco.

Nós, da ExVul Security, focados há anos em pesquisa de defesa e ataque em bots de negociação e infraestrutura blockchain, oferecemos auditorias de segurança, testes de penetração e serviços de resposta a incidentes para bots de negociação no Telegram. Se seu projeto estiver em desenvolvimento ou em fase de lançamento, entre em contato conosco para eliminar riscos potenciais antes que eles se concretizem.

Sobre nós ExVul

A ExVul é uma empresa de segurança Web3, oferecendo auditoria de contratos inteligentes, auditoria de protocolos blockchain, auditoria de carteiras, testes de penetração Web3, consultoria e planejamento de segurança. Nosso compromisso é elevar a segurança do ecossistema Web3 como um todo, sempre na vanguarda da pesquisa em segurança Web3.