Polymarketのトップ級Trading Bot Polyculeが攻撃され、予測市場プロジェクトはどのようにセキュリティ対策を行うべきか?
- 核心观点:Polycule Telegram交易机器人遭黑客攻击,损失约23万美元,该事件凸显了此类机器人普遍存在的私钥托管、身份认证依赖和交易确认缺失等核心安全风险,警示项目方需将安全建设作为产品核心,用户需保持警惕。
- 关键要素:
- Polycule机器人于2026年1月13日被攻击,约23万美元用户资金被盗,团队承诺对Polygon端受影响用户进行赔付。
- 攻击暴露了Telegram交易机器人的共性风险:服务器集中托管用户私钥、认证依赖易受攻击的Telegram账号、交易过程缺乏用户本地确认。
- 结合文档分析,Polycule特有的潜在攻击面包括:私钥导出接口风险、URL解析可能导致的SSRF漏洞、复制交易逻辑缺陷以及跨链换币环节的校验问题。
- 事件警示项目方需进行彻底技术复盘、专项安全审计并引入关键操作二次确认机制,以重建安全体系。
- 建议用户控制机器人内资金规模,及时提现,并加强Telegram账号自身的安全防护(如开启双重验证)。
一、事件の概要
2026年1月13日、Polycule公式はそのTelegram取引ボットがハッキング攻撃を受け、約23万ドルのユーザー資金が盗まれたことを確認した。チームはXで迅速に更新を行った:ボットは直ちに停止され、修正パッチが迅速に進められ、Polygon側の影響を受けたユーザーは補償を受けると約束した。昨夜から今日にかけての数回の発表により、Telegram取引ボット分野におけるセキュリティ議論が活発化している。
二、Polyculeの仕組み
Polyculeの位置付けは明確である:ユーザーがTelegram内でPolymarketのマーケット閲覧、ポジション管理、資金移動を完了できるようにすること。主なモジュールは以下の通り:
口座開設とダッシュボード:`/start`は自動的にPolygonウォレットを割り当て残高を表示し、`/home`、`/help`はエントリーポイントとコマンド説明を提供する。
相場情報と取引:`/trending`、`/search`、Polymarket URLの直接貼り付けによりマーケット詳細を取得できる;ボットは成行/指値注文、注文キャンセル、チャート表示を提供する。
ウォレットと資金:`/wallet`は資産確認、資金引出し、POL/USDC交換、秘密鍵エクスポートをサポート;`/fund`は入金手順を案内する。
クロスチェーンブリッジ:deBridgeと深く統合し、ユーザーがSolanaから資産をブリッジするのを支援し、デフォルトで2%のSOLを引き出してPOLに交換しGasとして使用する。
高度な機能: `/copytrade`はコピートレードインターフェースを開き、パーセンテージ、固定額、またはカスタムルールに基づいてフォロー取引が可能で、一時停止、逆フォロー取引、戦略共有などの拡張機能も設定できる。
Polycule Trading Botはユーザーとの対話、コマンド解析を担当し、バックエンドでは鍵の管理、取引の署名、オンチェーンイベントの継続的な監視も行う。
ユーザーが`/start`を入力すると、バックエンドは自動的にPolygonウォレットを生成し秘密鍵を保管し、その後`/buy`、`/sell`、`/positions`などのコマンドを送信して相場確認、注文、ポジション管理などの操作を完了できる。ボットはPolymarketのウェブリンクも解析し、直接取引エントリーポイントを返す。クロスチェーン資金はdeBridgeへの接続に依存し、SOLをPolygonにブリッジすることをサポートし、デフォルトで2%のSOLを引き出してPOLに交換し、その後の取引でGasを支払うために使用する。より高度な機能には、コピートレード、指値注文、ターゲットウォレットの自動監視などが含まれ、サーバー側が長時間オンラインで継続的に取引に代わって署名する必要がある。
三、Telegram取引ボットに共通するリスク
便利なチャット式インタラクションの裏には、回避が難しいいくつかのセキュリティ上の弱点がある:
まず、ほぼすべてのボットはユーザーの秘密鍵を自社サーバーに保管し、取引はバックエンドが直接代行して署名する。これは、サーバーが侵害されたり、運用管理上の不注意でデータが漏洩したりすると、攻撃者が秘密鍵を一括エクスポートし、すべてのユーザーの資金を一度に持ち去ることができることを意味する。次に、認証はTelegramアカウント自体に依存しており、ユーザーがSIMカードジャックや端末紛失に遭った場合、攻撃者はリカバリーフレーズを把握することなくボットアカウントを制御できる。最後に、ローカルでのポップアップ確認というステップがない——従来のウォレットでは各取引にユーザー自身の確認が必要だが、ボットモードでは、バックエンドロジックに不備があれば、システムはユーザーが全く知らないうちに自動的に資金を送金してしまう可能性がある。
四、Polyculeドキュメントから読み取れる特有の攻撃対象
ドキュメントの内容を踏まえると、今回の事件と将来の潜在的なリスクは主に以下の点に集中していると推測できる:
秘密鍵エクスポートインターフェース:`/wallet`メニューはユーザーが秘密鍵をエクスポートすることを許可しており、バックエンドが可逆的な鍵データを保存していることを示している。SQLインジェクション、未承認インターフェース、またはログ漏洩が存在する場合、攻撃者は直接エクスポート機能を呼び出すことができ、今回の盗難事件のシナリオと非常に一致している。
URL解析がSSRFを引き起こす可能性:ボットはユーザーにPolymarketリンクを提出して相場情報を取得するよう促している。入力が厳密に検証されていない場合、攻撃者は内部ネットワークやクラウドサービスのメタデータを指す偽のリンクを作成し、バックエンドに積極的に「罠」を踏ませ、さらに認証情報や設定を盗むことができる。
コピートレードの監視ロジック:コピートレードは、ボットがターゲットウォレットの操作に同期して追随することを意味する。監視されるイベントが偽造可能である場合、またはシステムがターゲット取引に対する安全なフィルタリングを欠いている場合、フォロートレードユーザーは悪意のあるコントラクトに誘導され、資金がロックされたり、直接引き出されたりする可能性がある。
クロスチェーンと自動通貨交換のプロセス:2%のSOLを自動的にPOLに交換するプロセスは、為替レート、スリッページ、オラクル、実行権限に関わる。これらのパラメータに対するコード内の検証が不十分な場合、ハッカーはブリッジング時に為替損失を拡大させたり、Gas予算を移動させたりする可能性がある。また、deBridgeの受領確認の検証が不十分な場合、偽の入金や二重入金のリスクも生じる。
五、プロジェクトチームとユーザーへのアドバイス
プロジェクトチームができることには以下が含まれる:サービス復旧前に完全で透明性のある技術的振り返りを提供すること;鍵の保管、権限分離、入力検証に対する専門的な監査を行うこと;サーバーアクセス制御とコードリリースプロセスを再構築すること;重要な操作に二段階確認や制限メカニズムを導入し、さらなる被害を軽減すること。
エンドユーザーは、ボット内の資金規模を管理し、利益を適宜引き出し、Telegramの二段階認証、独立したデバイス管理などの保護手段を優先的に有効にすることを検討すべきである。プロジェクト側が明確なセキュリティ保証を提供するまでは、追加の元本を投入せず、まずは様子を見るのが賢明である。
六、あとがき
Polyculeの事故は、取引体験が一つのチャットコマンドに圧縮される時、セキュリティ対策も同様にアップグレードされなければならないことを再認識させた。Telegram取引ボットは、当面の間、予測市場とミームコインの人気エントリーポイントであり続けるだろうが、この分野は攻撃者の狩場であり続けるだろう。我々は、プロジェクト側がセキュリティ構築を製品の一部として捉え、進捗状況をユーザーに公開することを提案する;ユーザーも警戒を怠らず、チャットのショートカットを無リスクの資産管理ツールと見なすべきではない。
私たちExVul Securityは、長期的に取引ボットとオンチェーンインフラストラクチャの攻防研究に焦点を当てており、Telegram取引ボットに対するセキュリティ監査、ペネトレーションテスト、インシデントレスポンスサービスを提供できる。あなたのプロジェクトが開発中または公開段階にある場合、潜在的なリスクを実装前に共同で排除するために、いつでもご連絡ください。
私たちExVulについて
ExVulは、スマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3ペネトレーションテスト、セキュリティコンサルティングと計画を含むサービス範囲をカバーするWeb3セキュリティ企業です。ExVulはWeb3エコシステム全体のセキュリティ向上に取り組み、常にWeb3セキュリティ研究の最先端に立っています。
