Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Bot giao dịch hàng đầu trên Polymarket, Polycule, đã bị tấn công, dự án thị trường dự đoán cần làm gì để đảm bảo an toàn?
null 一、Sự kiện nhanh
Ngày 13 tháng 1 năm 2026, chính thức xác nhận của Polycule rằng robot giao dịch Telegram của họ đã bị tấn công bởi hacker, khoảng 230.000 USD vốn của người dùng bị đánh cắp. Nhóm đã nhanh chóng cập nhật trên X: robot ngay lập tức ngừng hoạt động, vá lỗi nhanh chóng và cam kết bồi thường cho các người dùng bị ảnh hưởng trên Polygon. Các thông báo từ tối qua đến nay đã làm nóng vấn đề an toàn trong lĩnh vực robot giao dịch Telegram.
二、Cách hoạt động của Polycule
Vị trí của Polycule rất rõ ràng: cho phép người dùng hoàn thành việc duyệt thị trường, quản lý vị thế và điều phối vốn trên Polymarket qua Telegram. Các module chính gồm:
Mở tài khoản và bảng điều khiển: /start tự động phân phối ví Polygon và hiển thị số dư, /home, /help cung cấp lối vào và hướng dẫn lệnh.
Thị trường và giao dịch: /trending, /search, dán trực tiếp URL Polymarket đều có thể lấy chi tiết thị trường; robot cung cấp đặt lệnh theo giá thị trường/hạn chế, hủy lệnh và xem biểu đồ.
Ví và vốn: /wallet hỗ trợ xem tài sản, rút vốn, hoán đổi POL/USDC, xuất khóa riêng; /fund hướng dẫn quy trình nạp tiền.
Cầu nối chuỗi chéo: tích hợp sâu deBridge, giúp người dùng chuyển tài sản từ Solana qua cầu, mặc định trừ 2% SOL đổi lấy POL để trả phí Gas.
Chức năng nâng cao: /copytrade mở giao diện sao chép giao dịch, có thể theo phần trăm, số cố định hoặc quy tắc tùy chỉnh để theo dõi, còn có thể thiết lập tạm dừng, theo ngược, chia sẻ chiến lược và các khả năng mở rộng khác.
Bot Giao dịch Polycule chịu trách nhiệm trò chuyện với người dùng, phân tích lệnh, quản lý khóa trong nền, ký giao dịch và liên tục theo dõi các sự kiện trên chuỗi.
Sau khi người dùng nhập /start, hệ thống tự động tạo ví Polygon và giữ khóa riêng, sau đó có thể tiếp tục gửi các lệnh /buy, /sell, /positions để kiểm tra, đặt lệnh, quản lý vị thế. Robot còn có thể phân tích liên kết web Polymarket, trực tiếp trả về lối vào giao dịch. Vốn chuỗi chéo dựa vào kết nối deBridge, hỗ trợ cầu SOL sang Polygon, và mặc định trích 2% SOL đổi lấy POL để thanh toán Gas cho các giao dịch sau. Các chức năng nâng cao như Copy Trading, lệnh hạn chế, giám sát tự động ví mục tiêu yêu cầu server phải luôn trực tuyến và ký giao dịch liên tục.
三、Những rủi ro chung của robot giao dịch Telegram
Phía sau sự tiện lợi của tương tác dạng trò chuyện là một số điểm yếu về an toàn rất khó tránh:
Thứ nhất, hầu hết các robot đều lưu khóa riêng của người dùng trên máy chủ của mình, giao dịch được ký thay trực tiếp từ nền. Điều này có nghĩa là nếu máy chủ bị tấn công hoặc vận hành không cẩn thận để lộ dữ liệu, kẻ tấn công có thể xuất khẩu hàng loạt khóa riêng, lấy hết vốn của tất cả người dùng trong một lần. Thứ hai, xác thực dựa vào tài khoản Telegram, nếu người dùng bị chiếm quyền SIM hoặc mất thiết bị, kẻ tấn công có thể kiểm soát tài khoản robot mà không cần biết mnemonic. Cuối cùng, không có xác nhận bật lên cục bộ — trong ví truyền thống, mỗi giao dịch đều cần xác nhận của người dùng, còn trong chế độ robot, chỉ cần logic phía sau có lỗi, hệ thống có thể tự động chuyển tiền mà người dùng không hay biết.
四、Những điểm tấn công đặc thù trong tài liệu của Polycule
Kết hợp nội dung tài liệu, có thể suy đoán rằng sự kiện lần này và các rủi ro tiềm năng trong tương lai chủ yếu tập trung vào các điểm sau:
Giao diện xuất khóa riêng: /wallet cho phép người dùng xuất khóa riêng, cho thấy backend lưu trữ dữ liệu khóa có thể đảo ngược. Nếu có SQL injection, API không được phép hoặc leak log, kẻ tấn công có thể gọi trực tiếp chức năng xuất, phù hợp cao với vụ bị đánh cắp lần này.
Phân tích URL có thể kích hoạt SSRF: robot khuyến khích người dùng gửi liên kết Polymarket để lấy dữ liệu thị trường. Nếu đầu vào không được kiểm tra chặt chẽ, kẻ tấn công có thể giả mạo liên kết hướng vào nội bộ hoặc metadata của dịch vụ đám mây, khiến backend tự “dẫm vào bẫy”, từ đó lấy cắp chứng thực hoặc cấu hình.
Logic theo dõi Copy Trading: sao chép giao dịch có nghĩa là robot sẽ theo dõi và đồng bộ hoạt động của ví mục tiêu. Nếu các sự kiện theo dõi có thể giả mạo hoặc hệ thống thiếu lọc an toàn cho các giao dịch mục tiêu, người theo dõi có thể bị dẫn vào hợp đồng độc hại, vốn bị khóa hoặc bị rút trực tiếp.
Cầu nối chuỗi chéo và tự động hoán đổi tiền: quá trình tự động đổi 2% SOL thành POL liên quan đến tỷ giá, trượt giá, oracle và quyền thực thi. Nếu các tham số này không được kiểm tra chặt chẽ, hacker có thể làm tăng thiệt hại khi đổi hoặc chuyển phí Gas. Ngoài ra, nếu thiếu kiểm tra xác nhận của deBridge, cũng có nguy cơ nạp giả hoặc trùng lặp.
五、Những cảnh báo dành cho nhóm dự án và người dùng
Nhóm dự án có thể làm: trước khi phục hồi dịch vụ, cung cấp một bản tổng kết kỹ thuật rõ ràng, minh bạch; kiểm tra đặc biệt về lưu trữ khóa, phân quyền, kiểm tra đầu vào; rà soát lại kiểm soát truy cập máy chủ và quy trình phát hành mã; thêm xác nhận hai lần hoặc giới hạn cho các thao tác quan trọng để giảm thiểu thiệt hại.
Người dùng cuối nên cân nhắc kiểm soát quy mô vốn trong robot, rút lợi nhuận kịp thời, và ưu tiên bật xác thực hai yếu tố, quản lý thiết bị độc lập để phòng ngừa. Trước khi dự án đưa ra cam kết an toàn rõ ràng, tốt nhất là nên chờ đợi, tránh bỏ thêm tiền vốn.
六、Phần kết
Sự cố của Polycule một lần nữa nhắc nhở chúng ta: khi trải nghiệm giao dịch bị rút ngắn thành một lệnh trò chuyện, các biện pháp an toàn cũng cần nâng cấp đồng bộ. Trong ngắn hạn, robot giao dịch Telegram vẫn sẽ là cổng vào dự đoán thị trường và Meme coin phổ biến, nhưng lĩnh vực này cũng sẽ tiếp tục là nơi săn mồi của các hacker. Chúng tôi khuyên các dự án xem an toàn như một phần của sản phẩm, công khai tiến trình cho người dùng; người dùng cũng nên cảnh giác, đừng coi các phím tắt trò chuyện như quản lý tài sản không rủi ro.
Chúng tôi, ExVul Security, chuyên sâu về nghiên cứu phòng thủ và tấn công robot giao dịch và hạ tầng chuỗi, cung cấp dịch vụ kiểm tra an toàn, kiểm thử xâm nhập và ứng phó khẩn cấp cho robot giao dịch Telegram. Nếu dự án của bạn đang trong giai đoạn phát triển hoặc ra mắt, hãy liên hệ với chúng tôi để cùng loại bỏ các rủi ro tiềm năng trước khi triển khai.
Về chúng tôi ExVul
ExVul là một công ty an ninh Web3, cung cấp dịch vụ kiểm tra hợp đồng thông minh, kiểm tra giao thức blockchain, kiểm tra ví, thử nghiệm xâm nhập Web3, tư vấn an toàn và lập kế hoạch. ExVul cam kết nâng cao an toàn toàn diện của hệ sinh thái Web3, luôn đứng ở tuyến đầu trong nghiên cứu an ninh Web3.