На Polymarket был атакован топовый торговый бот Polycule. Как проекту рынка прогнозов обеспечить безопасность и предотвратить подобные инциденты?

null 一、Быстрый обзор событий

13 января 2026 года официальная команда Polycule подтвердила, что их торговый бот в Telegram подвергся хакерской атаке, в результате чего было украдено около 230 000 долларов пользовательских средств. Команда быстро обновила информацию в X: бот был выведен из сети, начаты работы по исправлению уязвимостей, и пообещала возместить ущерб пострадавшим пользователям на стороне Polygon. Несколько уведомлений с прошлой ночи и сегодня продолжили разжигать обсуждение безопасности в сфере торговых ботов в Telegram.

二、Как работает Polycule

Цель Polycule ясна: позволить пользователям просматривать рынки, управлять позициями и распоряжаться средствами на Polymarket прямо в Telegram. Основные модули включают:

Создание аккаунта и панель: /start автоматически назначает кошелек Polygon и показывает баланс, /home и /help предоставляют доступ и инструкции.

Котировки и торговля: /trending, /search, вставка URL Polymarket — все это позволяет получать детали рынка; бот поддерживает рыночные и лимитные ордера, отмену ордеров и просмотр графиков.

Кошелек и средства: /wallet — просмотр активов, вывод средств, обмен POL/USDC, экспорт приватных ключей; /fund — инструкции по пополнению.

Мосты между цепочками: глубоко интегрирован с deBridge, помогает пользователям мостить активы с Solana, по умолчанию списывая 2% SOL для обмена на POL для оплаты газа.

Расширенные функции: /copytrade — открыть интерфейс копирования сделок, следовать по процентам, фиксированным суммам или настраиваемым правилам, а также включать паузы, обратное копирование, обмен стратегий и другие расширения.

Торговый бот Polycule отвечает за взаимодействие с пользователями, парсинг команд, управление ключами, подписание транзакций и постоянное отслеживание событий в блокчейне.

После ввода /start, система автоматически создает кошелек Polygon и хранит приватный ключ, далее пользователь может отправлять команды /buy, /sell, /positions для проверки, размещения ордеров и управления позициями. Бот также способен парсить ссылки на Polymarket и сразу возвращать торговый вход. Мостовые средства подключены через deBridge, поддерживая мостинг SOL в Polygon и автоматически списывая 2% SOL для обмена на POL для последующих транзакций с оплатой газа. Расширенные функции включают Copy Trading, лимитные ордера, автоматический мониторинг целевых кошельков и требуют постоянной работы сервера и подписи транзакций.

三、Общие риски Telegram-торговых ботов

За удобным чат-интерфейсом скрываются несколько критических уязвимостей:

Во-первых, почти все боты хранят приватные ключи пользователей на своих серверах, осуществляя подпись транзакций в автоматическом режиме. Это означает, что при взломе сервера или утечке данных злоумышленники могут массово экспортировать ключи и похитить все средства пользователей. Во-вторых, аутентификация основана на аккаунте Telegram, и при захвате SIM-карты или утере устройства злоумышленник может управлять ботом без знания мнемонической фразы. В-третьих, отсутствует локальное подтверждение транзакций — в традиционных кошельках каждое действие требует подтверждения пользователя, а в боте, при ошибках в логике, деньги могут быть переведены без ведома владельца.

四、Особенности уязвимостей, выявленных в документации Polycule

Анализируя документацию, можно предположить, что текущие и потенциальные будущие риски сосредоточены в следующих областях:

Интерфейс экспорта приватных ключей: /wallet позволяет экспортировать ключи, что указывает на хранение обратимых данных. При SQL-инъекциях, неавторизованных API или утечках логов злоумышленники могут вызвать функцию экспорта и похитить средства, что полностью совпадает с текущим случаем кражи.

Обработка URL и SSRF: бот поощряет пользователей вставлять ссылки Polymarket для получения котировок. Если проверка входных данных недостаточна, злоумышленники могут подделать ссылки на внутренние ресурсы или метаданные облачных сервисов, что позволит серверу «подскользнуться» и украсть учетные данные или конфигурацию.

Логика слежения за Copy Trading: копирование сделок предполагает, что бот отслеживает действия целевого кошелька. Если события можно подделать или отсутствует безопасность фильтрации, пользователь, следящий за чужим кошельком, может попасть под управление вредоносным контрактом, средства могут быть заблокированы или украдены напрямую.

Мосты и автоматическая конвертация: автоматический обмен 2% SOL на POL зависит от курсов, проскальзывания, оракулов и прав доступа. Недостаточная проверка этих параметров может привести к увеличению потерь при обмене или перерасходу газа. Также, отсутствие проверки подтверждения от deBridge может вызвать ложные зачисления или дублирование транзакций.

五、Рекомендации для команд проектов и пользователей

Команды проектов могут предпринять следующие шаги: подготовить и опубликовать полный и прозрачный технический разбор после восстановления сервиса; провести аудит хранения ключей, изоляции прав и валидации входных данных; пересмотреть контроль доступа к серверам и процессы релиза кода; внедрить двухфакторную аутентификацию и лимиты для важных операций, чтобы снизить риск дальнейших потерь.

Пользователи должны контролировать объем средств в боте, своевременно выводить прибыль и активировать защитные меры, такие как двухфакторная аутентификация в Telegram и управление на отдельном устройстве. Пока команда проекта не даст четких гарантий безопасности, лучше воздержаться от дополнительных вложений, чтобы не рисковать средствами.

六、Заключение

Инцидент с Polycule вновь напомнил, что при сокращении торгового опыта до командной строки необходимо одновременно усиливать меры безопасности. В ближайшее время Telegram-торговые боты останутся популярным входом в рынки предсказаний и мем-койнов, но эта сфера продолжит привлекать злоумышленников. Мы рекомендуем проектам воспринимать безопасность как часть продукта и открыто информировать пользователей о прогрессе; пользователям — сохранять бдительность и не считать чат-боты безрисковым управлением активами.

Компания ExVul Security специализируется на исследованиях и тестировании безопасности торговых ботов и инфраструктуры блокчейна, предоставляя услуги аудита, пентестов и реагирования на инциденты для Telegram-ботов и не только. Если ваш проект находится в стадии разработки или запуска, свяжитесь с нами для устранения потенциальных рисков заранее.

О нас ExVul

ExVul — компания, специализирующаяся на безопасности Web3, предоставляющая услуги аудита смарт-контрактов, протоколов блокчейна, кошельков, тестирования на проникновение, консультаций и планирования безопасности. ExVul стремится повысить общую безопасность экосистемы Web3 и всегда находится в авангарде исследований в области Web3-безопасности.