Polymarket's Top Trading Bot Polycule Attacked, How Should Prediction Market Projects Strengthen Security?

特邀专栏作者

2026-01-14 09:33

บทความนี้มีประมาณ 2299 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

On January 13, 2026, Polycule officially confirmed that its Telegram trading bot was hacked, resulting in approximately $230,000 in user assets being compromised. As the bot went offline and compensation promises were announced, the incident quickly sparked industry-wide discussions on the security of Telegram Trading Bots. By examining Polycule's functional structure and design logic, it becomes clear that this was not an isolated failure, but rather the concentrated eruption of long-standing yet underestimated security risks inherent in the trading bot model.

สรุปโดย AI

ขยาย

核心观点：Polycule Telegram交易机器人遭黑客攻击，损失约23万美元，该事件凸显了此类机器人普遍存在的私钥托管、身份认证依赖和交易确认缺失等核心安全风险，警示项目方需将安全建设作为产品核心，用户需保持警惕。
关键要素：
1. Polycule机器人于2026年1月13日被攻击，约23万美元用户资金被盗，团队承诺对Polygon端受影响用户进行赔付。
2. 攻击暴露了Telegram交易机器人的共性风险：服务器集中托管用户私钥、认证依赖易受攻击的Telegram账号、交易过程缺乏用户本地确认。
3. 结合文档分析，Polycule特有的潜在攻击面包括：私钥导出接口风险、URL解析可能导致的SSRF漏洞、复制交易逻辑缺陷以及跨链换币环节的校验问题。
4. 事件警示项目方需进行彻底技术复盘、专项安全审计并引入关键操作二次确认机制，以重建安全体系。
5. 建议用户控制机器人内资金规模，及时提现，并加强Telegram账号自身的安全防护（如开启双重验证）。

1. บันทึกเหตุการณ์ย่อ

วันที่ 13 มกราคม 2026 Polycule ยืนยันอย่างเป็นทางการว่าแอปพลิเคชันบอทเทรดบน Telegram ของพวกเขาถูกแฮ็ก โดยมีเงินทุนของผู้ใช้ประมาณ 230,000 ดอลลาร์ถูกขโมย ทีมงานอัปเดตอย่างรวดเร็วบน X: บอทถูกปิดใช้งานทันที แพตช์แก้ไขกำลังดำเนินการอย่างรวดเร็ว และให้คำมั่นว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบบนเครือข่าย Polygon การประกาศหลายรอบตั้งแต่วันที่ผ่านมาจนถึงวันนี้ ทำให้การอภิปรายเกี่ยวกับความปลอดภัยในแทร็กบอทเทรด Telegram ยังคงร้อนแรง

2. Polycule ทำงานอย่างไร

ตำแหน่งของ Polycule ชัดเจน: ให้ผู้ใช้สำรวจตลาด จัดการตำแหน่ง และจัดการเงินทุนบน Polymarket ได้ภายใน Telegram โมดูลหลักประกอบด้วย:

เปิดบัญชีและแผงควบคุม: `/start` จะจัดสรรกระเป๋าเงิน Polygon โดยอัตโนมัติและแสดงยอดคงเหลือ `/home`, `/help` ให้ทางเข้าและคำอธิบายคำสั่ง

ราคาและการซื้อขาย: `/trending`, `/search` หรือการวาง URL ของ Polymarket โดยตรงสามารถดึงข้อมูลรายละเอียดตลาดได้ บอทให้บริการคำสั่งซื้อ/ขายตามราคาตลาด/ราคาที่กำหนด ยกเลิกคำสั่งซื้อ และดูแผนภูมิ

กระเป๋าเงินและเงินทุน: `/wallet` รองรับการดูสินทรัพย์ ถอนเงินทุน การแลกเปลี่ยน POL/USDC และส่งออกคีย์ส่วนตัว `/fund` ให้คำแนะนำเกี่ยวกับขั้นตอนการเติมเงิน

การเชื่อมโยงข้ามเชน: ผสานรวมdeBridge อย่างลึกซึ้ง ช่วยให้ผู้ใช้สามารถบริดจ์สินทรัพย์จาก Solana และหัก 2% ของ SOL โดยค่าเริ่มต้นเพื่อแปลงเป็น POL สำหรับจ่ายค่าธรรมเนียม Gas

ฟังก์ชันขั้นสูง: `/copytrade` เปิดอินเทอร์เฟซการคัดลอกการซื้อขาย สามารถคัดลอกการซื้อขายตามเปอร์เซ็นต์ จำนวนเงินคงที่ หรือกฎที่กำหนดเอง และยังสามารถตั้งค่าการหยุดชั่วคราว การคัดลอกการซื้อขายย้อนกลับ การแบ่งปันกลยุทธ์ และความสามารถในการขยายอื่นๆ

Polycule Trading Bot รับผิดชอบในการสนทนากับผู้ใช้ ตีความคำสั่ง และยังจัดการคีย์ ลายเซ็นธุรกรรม และตรวจสอบเหตุการณ์บนเชนอย่างต่อเนื่องในแบ็กเอนด์

หลังจากผู้ใช้ป้อน `/start` แบ็กเอนด์จะสร้างกระเป๋าเงิน Polygon โดยอัตโนมัติและเก็บรักษาคีย์ส่วนตัว จากนั้นสามารถส่งคำสั่ง `/buy`, `/sell`, `/positions` ต่อไปเพื่อดำเนินการตรวจสอบตลาด สั่งซื้อ จัดการตำแหน่ง และการดำเนินการอื่นๆ บอทยังสามารถแยกวิเคราะห์ลิงก์เว็บของ Polymarket และส่งคืนทางเข้าซื้อขายโดยตรง เงินทุนข้ามเชนอาศัยการเชื่อมต่อกับdeBridge ซึ่งรองรับการบริดจ์ SOL ไปยัง Polygon และโดยค่าเริ่มต้นจะหัก 2% ของ SOL เพื่อแปลงเป็น POL สำหรับจ่ายค่าธรรมเนียม Gas ในการซื้อขายครั้งต่อไป ฟังก์ชันขั้นสูงเพิ่มเติมรวมถึง Copy Trading, คำสั่งซื้อตามราคาที่กำหนด การตรวจสอบกระเป๋าเงินเป้าหมายอัตโนมัติ ฯลฯ ซึ่งต้องการให้เซิร์ฟเวอร์ทำงานออนไลน์เป็นเวลานานและลงนามธุรกรรมแทนอย่างต่อเนื่อง

3. ความเสี่ยงทั่วไปของบอทเทรดบน Telegram

เบื้องหลังการโต้ตอบที่สะดวกสบายผ่านการแชท คือจุดอ่อนด้านความปลอดภัยหลายประการที่ยากจะหลีกเลี่ยง:

ประการแรก บอทเกือบทั้งหมดจะจัดเก็บคีย์ส่วนตัวของผู้ใช้บนเซิร์ฟเวอร์ของตนเอง โดยธุรกรรมจะถูกเซ็นแทนโดยแบ็กเอนด์โดยตรง ซึ่งหมายความว่าหากเซิร์ฟเวอร์ถูกโจมตีหรือข้อมูลรั่วไหลเนื่องจากความประมาทของผู้ดูแลระบบ ผู้โจมตีสามารถส่งออกคีย์ส่วนตัวอย่างเป็นกลุ่มและกวาดล้างเงินทุนของผู้ใช้ทั้งหมดในครั้งเดียว ประการที่สอง การรับรองความถูกต้องขึ้นอยู่กับบัญชี Telegram เอง หากผู้ใช้ประสบกับการขโมยซิมการ์ดหรือสูญเสียอุปกรณ์ ผู้โจมตีสามารถควบคุมบัญชีบอทได้โดยไม่ต้องรู้ seed phrase สุดท้าย ไม่มีขั้นตอนการยืนยันป็อปอัปในเครื่อง – กระเป๋าเงินแบบดั้งเดิมต้องการให้ผู้ใช้ยืนยันด้วยตนเองสำหรับทุกธุรกรรม ในขณะที่ในโหมดบอท หากตรรกะแบ็กเอนด์มีข้อผิดพลาด ระบบอาจโอนเงินออกโดยอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว

4. จุดโจมตีเฉพาะที่เปิดเผยโดยเอกสารของ Polycule

เมื่อพิจารณาจากเนื้อหาเอกสาร สามารถสันนิษฐานได้ว่าอุบัติเหตุครั้งนี้และความเสี่ยงที่อาจเกิดขึ้นในอนาคตส่วนใหญ่集中在ประเด็นต่อไปนี้:

อินเทอร์เฟซการส่งออกคีย์ส่วนตัว: เมนู `/wallet` อนุญาตให้ผู้ใช้ส่งออกคีย์ส่วนตัว ซึ่งบ่งชี้ว่าแบ็กเอนด์จัดเก็บข้อมูลคีย์ที่สามารถย้อนกลับได้ หากมีช่องโหว่ SQL injection อินเทอร์เฟซที่ไม่ได้อนุญาต หรือการรั่วไหลของบันทึก ผู้โจมตีสามารถเรียกใช้ฟังก์ชันการส่งออกโดยตรง ซึ่งสอดคล้องกับสถานการณ์การขโมยครั้งนี้เป็นอย่างมาก

การแยกวิเคราะห์ URL อาจกระตุ้น SSRF: บอทสนับสนุนให้ผู้ใช้ส่งลิงก์ Polymarket เพื่อรับข้อมูลราคา หากอินพุตไม่ได้รับการตรวจสอบอย่างเข้มงวด ผู้โจมตีสามารถปลอมแปลงลิงก์ที่ชี้ไปยังเครือข่ายภายในหรือเมตาดาต้าของบริการคลาวด์ ทำให้แบ็กเอนด์ "ตกหลุมพราง" อย่างแข็งขัน เพื่อขโมยข้อมูลรับรองหรือการกำหนดค่าเพิ่มเติม

ตรรกะการตรวจสอบของ Copy Trading: การคัดลอกการซื้อขายหมายความว่าบอทจะดำเนินการตามกระเป๋าเงินเป้าหมายอย่างซิงโครไนซ์ หากเหตุการณ์ที่ตรวจสอบสามารถปลอมแปลงได้ หรือระบบขาดการกรองความปลอดภัยสำหรับธุรกรรมเป้าหมาย ผู้ใช้ที่คัดลอกการซื้อขายอาจถูกนำไปสู่สัญญาที่เป็นอันตราย โดยที่เงินทุนถูกล็อคหรือถูกดูดออกโดยตรง

ขั้นตอนการเชื่อมโยงข้ามเชนและการแลกเปลี่ยนเหรียญอัตโนมัติ: กระบวนการแปลง 2% ของ SOL เป็น POL โดยอัตโนมัติเกี่ยวข้องกับอัตราแลกเปลี่ยน สลิปเพจ ออราเคิล และสิทธิ์ในการดำเนินการ หากการตรวจสอบพารามิเตอร์เหล่านี้ในโค้ดไม่เข้มงวดพอ แฮ็กเกอร์อาจขยายการสูญเสียจากการแลกเปลี่ยนหรือโอนงบประมาณ Gas ในระหว่างการบริดจ์ นอกจากนี้ หากการตรวจสอบใบเสร็จรับเงินจาก deBridge ไม่เพียงพอ อาจนำไปสู่ความเสี่ยงของการเติมเงินปลอมหรือการบันทึกซ้ำ

5. คำเตือนสำหรับทีมโครงการและผู้ใช้

สิ่งที่ทีมโครงการสามารถทำได้ รวมถึง: จัดส่งการวิเคราะห์ทางเทคนิคที่สมบูรณ์และโปร่งใสก่อนฟื้นฟูบริการ ดำเนินการตรวจสอบความปลอดภัยเฉพาะสำหรับการจัดเก็บคีย์ การแยกสิทธิ์ การตรวจสอบอินพุต ปรับปรุงกระบวนการควบคุมการเข้าถึงเซิร์ฟเวอร์และการเผยแพร่โค้ด นำกลไกการยืนยันซ้ำหรือการจำกัดจำนวนสำหรับการดำเนินการที่สำคัญ เพื่อลดความเสียหายเพิ่มเติม

ผู้ใช้ปลายทางควร พิจารณาควบคุมขนาดเงินทุนในบอท ถอนกำไรออกทันที และเปิดใช้งานการป้องกันเช่นการยืนยันสองขั้นตอนของ Telegram การจัดการอุปกรณ์แยกต่างหาก เป็นต้น ก่อนที่ฝ่ายโครงการจะให้คำมั่นสัญญาด้านความปลอดภัยที่ชัดเจน อาจเป็นการดีที่จะรอดูและหลีกเลี่ยงการเพิ่มเงินทุนหลัก

6. บทส่งท้าย

อุบัติเหตุของ Polycule ทำให้เราตระหนักอีกครั้งว่า: เมื่อประสบการณ์การซื้อขายถูกบีบอัดเป็นคำสั่งแชทเดียว มาตรการความปลอดภัยก็ต้องได้รับการอัปเกรดควบคู่กันไป บอทเทรดบน Telegram จะยังคงเป็นทางเข้าที่ได้รับความนิยมสำหรับตลาดทำนายและเหรียญ Meme ในระยะสั้น แต่พื้นที่นี้จะยังคงเป็นสนามล่าของผู้โจมตีต่อไป เราแนะนำให้ฝ่ายโครงการพิจารณาการสร้างความปลอดภัยเป็นส่วนหนึ่งของผลิตภัณฑ์ และเปิดเผยความคืบหน้าให้ผู้ใช้ทราบพร้อมกัน ผู้ใช้ควรตื่นตัวและไม่ควรมองว่าคีย์ลัดแชทเป็นผู้จัดการสินทรัพย์ที่ไร้ความเสี่ยง

เราที่ ExVul Security มุ่งเน้นการวิจัยด้านการโจมตีและการป้องกันสำหรับบอทเทรดและโครงสร้างพื้นฐานบนเชนในระยะยาว สามารถให้บริการตรวจสอบความปลอดภัย การทดสอบการเจาะระบบ และการตอบสนองเหตุฉุกเฉินสำหรับบอทเทรดบน Telegram หากโครงการของคุณกำลังอยู่ในขั้นตอนการพัฒนาหรือเตรียมเปิดตัว ยินดีต้อนรับการติดต่อกับเราได้ทุกเวลา เพื่อร่วมกันกำจัดความเสี่ยงที่อาจเกิดขึ้นก่อนที่จะดำเนินการ

เกี่ยวกับเรา ExVul

ExVul เป็นบริษัทความปลอดภัย Web3 ที่ให้บริการครอบคลุมการตรวจสอบสัญญาอัจฉริยะ การตรวจสอบโปรโตคอลบล็อกเชน การตรวจสอบกระเป๋าเงิน การทดสอบการเจาะระบบ Web3 การให้คำปรึกษาด้านความปลอดภัยและการวางแผน ExVul มุ่งมั่นที่จะยกระดับความปลอดภัยโดยรวมของระบบนิเวศ Web3 และยืนอยู่แถวหน้าของการวิจัยด้านความปลอดภัย Web3 เสมอมา

กระเป๋าสตางค์

ความปลอดภัย

ข้ามโซ่

Polygon