Polymarketのトップ級Trading Bot Polyculeが攻撃され、予測市場プロジェクトはどのようにセキュリティ対策を行うべきか？

一、事件の概要

2026年1月13日、Polycule公式はそのTelegram取引ボットがハッキング攻撃を受け、約23万ドルのユーザー資金が盗まれたことを確認した。チームはXで迅速に更新を行った：ボットは直ちに停止され、修正パッチが迅速に進められ、Polygon側の影響を受けたユーザーは補償を受けると約束した。昨夜から今日にかけての数回の発表により、Telegram取引ボット分野におけるセキュリティ議論が活発化している。

二、Polyculeの仕組み

Polyculeの位置付けは明確である：ユーザーがTelegram内でPolymarketのマーケット閲覧、ポジション管理、資金移動を完了できるようにすること。主なモジュールは以下の通り：

口座開設とダッシュボード：`/start`は自動的にPolygonウォレットを割り当て残高を表示し、`/home`、`/help`はエントリーポイントとコマンド説明を提供する。

相場情報と取引：`/trending`、`/search`、Polymarket URLの直接貼り付けによりマーケット詳細を取得できる；ボットは成行/指値注文、注文キャンセル、チャート表示を提供する。

ウォレットと資金：`/wallet`は資産確認、資金引出し、POL/USDC交換、秘密鍵エクスポートをサポート；`/fund`は入金手順を案内する。

クロスチェーンブリッジ：deBridgeと深く統合し、ユーザーがSolanaから資産をブリッジするのを支援し、デフォルトで2%のSOLを引き出してPOLに交換しGasとして使用する。

高度な機能： `/copytrade`はコピートレードインターフェースを開き、パーセンテージ、固定額、またはカスタムルールに基づいてフォロー取引が可能で、一時停止、逆フォロー取引、戦略共有などの拡張機能も設定できる。

Polycule Trading Botはユーザーとの対話、コマンド解析を担当し、バックエンドでは鍵の管理、取引の署名、オンチェーンイベントの継続的な監視も行う。

ユーザーが`/start`を入力すると、バックエンドは自動的にPolygonウォレットを生成し秘密鍵を保管し、その後`/buy`、`/sell`、`/positions`などのコマンドを送信して相場確認、注文、ポジション管理などの操作を完了できる。ボットはPolymarketのウェブリンクも解析し、直接取引エントリーポイントを返す。クロスチェーン資金はdeBridgeへの接続に依存し、SOLをPolygonにブリッジすることをサポートし、デフォルトで2%のSOLを引き出してPOLに交換し、その後の取引でGasを支払うために使用する。より高度な機能には、コピートレード、指値注文、ターゲットウォレットの自動監視などが含まれ、サーバー側が長時間オンラインで継続的に取引に代わって署名する必要がある。

三、Telegram取引ボットに共通するリスク

便利なチャット式インタラクションの裏には、回避が難しいいくつかのセキュリティ上の弱点がある：

まず、ほぼすべてのボットはユーザーの秘密鍵を自社サーバーに保管し、取引はバックエンドが直接代行して署名する。これは、サーバーが侵害されたり、運用管理上の不注意でデータが漏洩したりすると、攻撃者が秘密鍵を一括エクスポートし、すべてのユーザーの資金を一度に持ち去ることができることを意味する。次に、認証はTelegramアカウント自体に依存しており、ユーザーがSIMカードジャックや端末紛失に遭った場合、攻撃者はリカバリーフレーズを把握することなくボットアカウントを制御できる。最後に、ローカルでのポップアップ確認というステップがない——従来のウォレットでは各取引にユーザー自身の確認が必要だが、ボットモードでは、バックエンドロジックに不備があれば、システムはユーザーが全く知らないうちに自動的に資金を送金してしまう可能性がある。

四、Polyculeドキュメントから読み取れる特有の攻撃対象

ドキュメントの内容を踏まえると、今回の事件と将来の潜在的なリスクは主に以下の点に集中していると推測できる：

秘密鍵エクスポートインターフェース：`/wallet`メニューはユーザーが秘密鍵をエクスポートすることを許可しており、バックエンドが可逆的な鍵データを保存していることを示している。SQLインジェクション、未承認インターフェース、またはログ漏洩が存在する場合、攻撃者は直接エクスポート機能を呼び出すことができ、今回の盗難事件のシナリオと非常に一致している。

URL解析がSSRFを引き起こす可能性：ボットはユーザーにPolymarketリンクを提出して相場情報を取得するよう促している。入力が厳密に検証されていない場合、攻撃者は内部ネットワークやクラウドサービスのメタデータを指す偽のリンクを作成し、バックエンドに積極的に「罠」を踏ませ、さらに認証情報や設定を盗むことができる。

コピートレードの監視ロジック：コピートレードは、ボットがターゲットウォレットの操作に同期して追随することを意味する。監視されるイベントが偽造可能である場合、またはシステムがターゲット取引に対する安全なフィルタリングを欠いている場合、フォロートレードユーザーは悪意のあるコントラクトに誘導され、資金がロックされたり、直接引き出されたりする可能性がある。

クロスチェーンと自動通貨交換のプロセス：2%のSOLを自動的にPOLに交換するプロセスは、為替レート、スリッページ、オラクル、実行権限に関わる。これらのパラメータに対するコード内の検証が不十分な場合、ハッカーはブリッジング時に為替損失を拡大させたり、Gas予算を移動させたりする可能性がある。また、deBridgeの受領確認の検証が不十分な場合、偽の入金や二重入金のリスクも生じる。

五、プロジェクトチームとユーザーへのアドバイス

プロジェクトチームができることには以下が含まれる：サービス復旧前に完全で透明性のある技術的振り返りを提供すること；鍵の保管、権限分離、入力検証に対する専門的な監査を行うこと；サーバーアクセス制御とコードリリースプロセスを再構築すること；重要な操作に二段階確認や制限メカニズムを導入し、さらなる被害を軽減すること。

エンドユーザーは、ボット内の資金規模を管理し、利益を適宜引き出し、Telegramの二段階認証、独立したデバイス管理などの保護手段を優先的に有効にすることを検討すべきである。プロジェクト側が明確なセキュリティ保証を提供するまでは、追加の元本を投入せず、まずは様子を見るのが賢明である。

六、あとがき

Polyculeの事故は、取引体験が一つのチャットコマンドに圧縮される時、セキュリティ対策も同様にアップグレードされなければならないことを再認識させた。Telegram取引ボットは、当面の間、予測市場とミームコインの人気エントリーポイントであり続けるだろうが、この分野は攻撃者の狩場であり続けるだろう。我々は、プロジェクト側がセキュリティ構築を製品の一部として捉え、進捗状況をユーザーに公開することを提案する；ユーザーも警戒を怠らず、チャットのショートカットを無リスクの資産管理ツールと見なすべきではない。

私たちExVul Securityは、長期的に取引ボットとオンチェーンインフラストラクチャの攻防研究に焦点を当てており、Telegram取引ボットに対するセキュリティ監査、ペネトレーションテスト、インシデントレスポンスサービスを提供できる。あなたのプロジェクトが開発中または公開段階にある場合、潜在的なリスクを実装前に共同で排除するために、いつでもご連絡ください。

私たちExVulについて

ExVulは、スマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3ペネトレーションテスト、セキュリティコンサルティングと計画を含むサービス範囲をカバーするWeb3セキュリティ企業です。ExVulはWeb3エコシステム全体のセキュリティ向上に取り組み、常にWeb3セキュリティ研究の最先端に立っています。