Polymarket 최고 등급 트레이딩 봇 Polycule이 공격받아, 예측 시장 프로젝트는 어떻게 안전 방어를 해야 할까?

1. 사건 요약

2026년 1월 13일, Polycule 공식은 자사의 Telegram 거래 봇이 해킹 공격을 받아 약 23만 달러 상당의 사용자 자금이 도난당했다고 확인했습니다. 팀은 X(구 트위터)에서 신속하게 업데이트를 발표했습니다: 봇은 즉시 오프라인으로 전환되었고, 수정 패치는 신속하게 진행 중이며, Polygon 네트워크에서 영향을 받은 사용자들에게 보상이 제공될 것이라고 약속했습니다. 어제 저녁부터 오늘까지 이어진 여러 차례의 공지를 통해 Telegram 거래 봇 분야의 보안 논의가 뜨거워지고 있습니다.

2. Polycule의 작동 방식

Polycule의 포지셔닝은 명확합니다: 사용자가 Telegram 내에서 Polymarket의 시장 조회, 포지션 관리, 자금 조정을 완료할 수 있도록 하는 것입니다. 주요 모듈은 다음과 같습니다:

계좌 개설 및 패널: `/start` 명령어는 자동으로 Polygon 지갑을 할당하고 잔액을 표시하며, `/home`, `/help` 명령어는 진입점과 명령어 설명을 제공합니다.

시세 및 거래: `/trending`, `/search` 명령어 또는 Polymarket URL 직접 붙여넣기를 통해 시장 상세 정보를 가져올 수 있습니다; 봇은 시장가/지정가 주문, 주문 취소 및 차트 보기를 제공합니다.

지갑 및 자금: `/wallet` 명령어는 자산 조회, 자금 인출, POL/USDC 스왑, 개인 키 내보내기를 지원합니다; `/fund` 명령어는 입금 절차를 안내합니다.

크로스체인 브리징: deBridge와의 심층 통합을 통해 사용자가 Solana에서 자산을 브리징할 수 있도록 하며, 기본적으로 2%의 SOL을 가스비용으로 사용할 POL로 교환하여 차감합니다.

고급 기능: `/copytrade` 명령어는 복사 거래 인터페이스를 열어, 백분율, 고정 금액 또는 사용자 정의 규칙에 따라 거래를 복제할 수 있으며, 일시 중지, 역방향 복사 거래, 전략 공유 등의 확장 기능을 설정할 수도 있습니다.

Polycule Trading Bot은 사용자와의 대화 처리, 명령어 파싱을 담당하며, 백엔드에서 키 관리, 거래 서명 및 온체인 이벤트 지속적 모니터링도 수행합니다.

사용자가 `/start`를 입력하면 백엔드에서 자동으로 Polygon 지갑을 생성하고 개인 키를 보관합니다. 이후 `/buy`, `/sell`, `/positions` 등의 명령어를 계속 보내 시세 확인, 주문, 포지션 관리 등의 작업을 완료할 수 있습니다. 봇은 또한 Polymarket의 웹페이지 링크를 파싱하여 직접 거래 진입점을 반환할 수 있습니다. 크로스체인 자금은 deBridge 연동을 통해 지원되며, SOL을 Polygon으로 브리징하는 것을 지원하고, 기본적으로 2%의 SOL을 차감하여 향후 거래 시 가스비로 지불할 POL로 교환합니다. 더 고급 기능으로는 복사 거래, 지정가 주문, 대상 지갑 자동 모니터링 등이 있으며, 이는 서버가 장시간 온라인 상태를 유지하고 지속적으로 거래를 대리 서명해야 합니다.

3. Telegram 거래 봇의 공통 위험 요소

편리한 채팅식 상호작용 뒤에는 피하기 어려운 몇 가지 보안 취약점이 있습니다:

첫째, 거의 모든 봇은 사용자의 개인 키를 자체 서버에 보관하며, 거래는 백엔드에서 직접 대리 서명됩니다. 이는 서버가 공격을 받거나 운영 부주의로 데이터가 유출될 경우, 공격자가 일괄적으로 개인 키를 추출하여 모든 사용자의 자금을 한꺼번에 탈취할 수 있음을 의미합니다. 둘째, 인증은 Telegram 계정 자체에 의존합니다. 사용자가 SIM 카드 하이재킹이나 기기 분실을 당할 경우, 공격자는 니모닉 구문(시드 구문)을 알지 못해도 봇 계정을 제어할 수 있습니다. 마지막으로, 로컬 팝업 확인 단계가 없습니다. 기존 지갑은 모든 거래마다 사용자가 직접 확인해야 하지만, 봇 모드에서는 백엔드 로직에 문제가 생기기만 하면 시스템이 사용자도 모르는 사이에 자동으로 자금을 이체할 수 있습니다.

4. Polycule 문서가 드러내는 특정 공격 벡터

문서 내용을 종합해 볼 때, 이번 사건과 향후 잠재적 위험은 주로 다음과 같은 점에 집중될 것으로 추측됩니다:

개인 키 내보내기 인터페이스: `/wallet` 메뉴는 사용자가 개인 키를 내보낼 수 있도록 허용하며, 이는 백엔드에 가역적 키 데이터가 저장되어 있음을 의미합니다. SQL 인젝션, 무단 접근 인터페이스 또는 로그 유출이 존재할 경우, 공격자는 직접 내보내기 기능을 호출할 수 있으며, 이는 이번 도난 사건과 매우 유사한 시나리오입니다.

URL 파싱이 SSRF를 유발할 가능성: 봇은 사용자가 Polymarket 링크를 제출하여 시세를 얻도록 권장합니다. 입력값이 엄격하게 검증되지 않을 경우, 공격자는 내부 네트워크나 클라우드 서비스 메타데이터를 가리키는 위조 링크를 만들어 백엔드가 적극적으로 '함정'에 빠지도록 하여, 자격 증명이나 설정을 추가로 탈취할 수 있습니다.

복사 거래의 모니터링 로직: 복사 거래는 봇이 대상 지갑의 작업을 동기화하여 따라간다는 것을 의미합니다. 모니터링되는 이벤트가 위조될 수 있거나, 시스템이 대상 거래에 대한 안전 필터링이 부족할 경우, 복사 거래 사용자는 악성 스마트 컨트랙트로 유인되어 자금이 잠기거나 직접 인출될 수 있습니다.

크로스체인 및 자동 코인 교환 단계: 2%의 SOL을 자동으로 POL로 교환하는 프로세스는 환율, 슬리피지, 오라클 및 실행 권한을 포함합니다. 코드에서 이러한 매개변수에 대한 검증이 엄격하지 않을 경우, 해커는 브리징 과정에서 환전 손실을 확대하거나 가스 예산을 이전할 수 있습니다. 또한, deBridge의 영수증 검증에 결함이 있을 경우, 가짜 입금이나 중복 입금의 위험도 초래할 수 있습니다.

5. 프로젝트 팀과 사용자에게 드리는 당부

프로젝트 팀이 할 수 있는 일로는 다음과 같습니다: 서비스 복구 전에 완전하고 투명한 기술적 사후 분석 보고서를 제공하는 것; 키 저장소, 권한 분리, 입력 검증에 대한 전용 감사를 수행하는 것; 서버 접근 제어 및 코드 배포 프로세스를 재정비하는 것; 핵심 작업에 이차 확인 또는 한도 메커니즘을 도입하여 추가 피해를 줄이는 것 등이 있습니다.

최종 사용자는 봇 내 자금 규모를 통제하고, 수익을 적시에 인출하며, Telegram의 2단계 인증, 독립 기기 관리 등의 보호 수단을 우선적으로 활성화하는 것을 고려해야 합니다. 프로젝트 측이 명확한 보안 약속을 내놓기 전까지는, 자본금을 추가로 투입하기보다는 우선 지켜보는 것이 좋습니다.

6. 후기

Polycule의 사고는 다시 한번 깨닫게 합니다: 거래 경험이 한 줄의 채팅 명령어로 압축될 때, 보안 조치도 동시에 업그레이드되어야 한다는 것을. Telegram 거래 봇은 단기적으로 여전히 예측 시장과 밈 코인의 인기 진입점이 될 것이지만, 이 분야는 또한 지속적으로 공격자들의 사냥터가 될 것입니다. 우리는 프로젝트 측이 보안 구축을 제품의 일부로 간주하고, 동시에 사용자에게 진행 상황을 공개할 것을 권장합니다; 사용자들도 경계심을 유지하며, 채팅 단축키를 무위험 자산 관리자로 여기지 말아야 합니다.

우리 ExVul Security는 거래 봇과 온체인 인프라의 공격 및 방어 연구에 오랫동안 집중해 왔으며, Telegram 거래 봇에 대한 보안 감사, 침투 테스트 및 사고 대응 서비스를 제공할 수 있습니다. 귀하의 프로젝트가 현재 개발 또는 출시 단계에 있다면, 언제든지 저희에게 연락 주시기 바랍니다. 함께 잠재적 위험을 실제 발생 전에 제거합시다.

ExVul 소개

ExVul은 Web3 보안 회사로, 서비스 범위는 스마트 컨트랙트 감사, 블록체인 프로토콜 감사, 지갑 감사, Web3 침투 테스트, 보안 컨설팅 및 계획 수립을 포함합니다. ExVul은 Web3 생태계 전반의 보안성을 향상시키는 데 전념하며, 항상 Web3 보안 연구의 최전선에 서 있습니다.