На Polymarket був атакований топовий торговий бот Polycule. Як проекту ринків прогнозів забезпечити належний рівень безпеки?

null 一、Події та короткий огляд

13 січня 2026 року офіційний канал Polycule підтвердив, що їхній торговий бот у Telegram зазнав хакерської атаки, внаслідок якої було викрадено близько 230 000 доларів США користувацьких коштів. Команда швидко оновила інформацію в X: бот був виведений з роботи, швидко впроваджено виправлення, і пообіцяли, що постраждалі користувачі Polygon отримають компенсацію. Кілька повідомлень з вчорашнього вечора і до сьогодні сприяли подальшому обговоренню безпеки у сфері Telegram-трейдингу.

二、Як працює Polycule

Місія Polycule дуже чітка: дозволити користувачам виконувати перегляд ринків, управління позиціями та перекази коштів у Telegram на платформі Polymarket. Основні модулі включають:

Реєстрація та панель: команда /start автоматично призначає Polygon-гаманець і показує баланс, /home та /help — для доступу та інструкцій.

Котирування та торгівля: /trending, /search, або вставка URL Polymarket — для отримання деталей ринку; бот пропонує ринкові/лімітні ордери, скасування замовлень і перегляд графіків.

Гаманець і кошти: /wallet — для перегляду активів, зняття коштів, обміну POL/USDC, експорту приватного ключа; /fund — для інструкцій щодо поповнення.

Мостове з’єднання: глибока інтеграція з deBridge, допомагає користувачам мостити активи з Solana, з автоматичним списанням 2% SOL для обміну на POL для Gas.

Розширені функції: /copytrade — відкриває інтерфейс копіювання торгівлі, де можна слідувати за іншими трейдерами за відсотками, фіксованими сумами або власними правилами, а також налаштовувати паузи, реверсні копії та обмін стратегій.

Polycule Trading Bot відповідає за спілкування з користувачами, аналіз команд, управління ключами, підписання транзакцій і постійне моніторинг подій у блокчейні.

Після введення /start, бекенд автоматично створює Polygon-гаманець і зберігає приватний ключ, далі користувач може надсилати /buy, /sell, /positions та інші команди для перевірки балансу, розміщення ордерів і управління позиціями. Бот також може аналізувати посилання на Polymarket і безпосередньо повертати посилання для торгівлі. Мостове з’єднання підтримує мостинг SOL до Polygon і автоматично списує 2% SOL для обміну на POL для подальших транзакцій Gas. Розширені функції включають Copy Trading, лімітні ордери, автоматичний моніторинг цільових гаманців — для цього потрібен довгостроковий онлайн-сервіс із підписанням транзакцій.

三、Загальні ризики Telegram-трейдингових ботів

Зручний чат-інтерфейс приховує кілька серйозних безпекових вразливостей:

По-перше, майже всі боти зберігають приватні ключі користувачів на своїх серверах, а транзакції підписуються бекендом. Це означає, що при зломі сервера або витоку даних через недбалість, зловмисники можуть масово експортувати приватні ключі і викрасти всі кошти користувачів одночасно. По-друге, аутентифікація залежить від облікового запису Telegram, і якщо користувач потрапить під SIM-крадіжку або втратить пристрій, зловмисник зможе контролювати акаунт бота без знання мнемонічної фрази. Нарешті, відсутня локальна підтверджувальна віконна форма — на відміну від традиційних гаманців, де кожна транзакція вимагає підтвердження користувача, у бот-режимі, при помилках у логіці бекенду, система може автоматично переказати кошти без відома користувача.

四、Особливості атак, викриті документацією Polycule

З аналізу документації можна зробити висновок, що поточна і потенційна майбутня загроза зосереджена у таких напрямках:

Інтерфейс експорту приватних ключів: /wallet дозволяє користувачам експортувати приватний ключ, що свідчить про збереження зворотних ключових даних на бекенді. При наявності SQL-ін’єкцій, неавторизованих API або витоку логів, зловмисники можуть безпосередньо викликати функцію експорту, що співпадає з випадком крадіжки.

Можливість SSRF через URL: бот заохочує користувачів вставляти посилання Polymarket для отримання котирувань. Якщо валідація введених даних недостатня, зловмисники можуть підробляти посилання на внутрішні мережі або метадані хмарних сервісів, змушуючи бекенд “потрапити в пастку” і красти облікові дані або конфігурації.

Логіка моніторингу Copy Trading: копіювання торгівлі означає, що бот слідує за цільовим гаманцем і виконує синхронні операції. Якщо події можна підробити або відсутня безпечна фільтрація цільових транзакцій, користувачі, що копіюють, можуть бути втягнуті у зловмисні контракти, їхні кошти — заблоковані або виведені без дозволу.

Мостове з’єднання і автоматична конвертація: процес автоматичного обміну 2% SOL на POL залежить від курсу, прослизання, оракулів і прав доступу. Недостатня перевірка цих параметрів може призвести до збільшення втрат при мостингу або зловживань з Gas-бюджетом. Також, недосконала валідація підтверджень від deBridge може спричинити фальшиві поповнення або дублювання записів.

五、Рекомендації для команд проектів і користувачів

Команди проектів можуть зробити наступне: перед відновленням сервісу опублікувати повний і прозорий технічний аналіз; провести аудит збереження ключів, ізоляції прав і вхідних даних; переглянути контроль доступу до серверів і процеси релізу коду; додати двоетапне підтвердження або обмеження для ключових операцій, щоб зменшити ризики.

Користувачам слід контролювати обсяг коштів у боті, швидко знімати прибутки і активувати двофакторну автентифікацію, а також використовувати окремі пристрої для безпеки. Поки команда не дасть офіційних гарантій безпеки, краще утриматися від додаткових вкладень.

六、Післяслово

Інцидент Polycule знову нагадує: коли торговий досвід зводиться до чат-команди, заходи безпеки мають бути підвищені. Telegram-трейдингові боти залишатимуться популярним входом у ринки прогнозів і Meme-коінів у короткостроковій перспективі, але ця сфера також залишається полем для атак. Ми рекомендуємо проектам враховувати безпеку як частину продукту і відкрито інформувати користувачів про прогрес. Користувачам слід бути пильними і не вважати чат-інтерфейс безпечним для збереження активів.

Ми, ExVul Security, спеціалізуємося на дослідженнях у сфері захисту і атак на торгових ботів і блокчейн-інфраструктуру, пропонуємо послуги аудиту безпеки, пентестів і реагування на інциденти для Telegram-трейдингових ботів. Якщо ваш проект знаходиться у фазі розробки або запуску, звертайтеся до нас — допоможемо виявити і усунути потенційні ризики до запуску.

Про нас ExVul

ExVul — компанія у сфері безпеки Web3, що надає послуги з аудиту смарт-контрактів, протоколів блокчейна, гаманців, пентестів Web3, консультацій і планування безпеки. ExVul прагне підвищити загальну безпеку екосистеми Web3 і завжди залишається на передовій у дослідженнях безпеки Web3.