作者:ExVul Security,Web3安全公司
一、事件速記
2026 年 1 月 13 日,Polycule 官方確認其 Telegram 交易機器人遭遇黑客攻擊,約 23 萬美元用戶資金被盜。團隊在 X 上快速更新:機器人隨即下線,修復補丁火速推進,並承諾 Polygon 端的受影響用戶將獲賠付。從昨晚到今天的幾輪通告,讓 Telegram 交易機器人賽道的安全討論持續升溫。
二、Polycule 如何運轉
Polycule 的定位很清晰:讓用戶在 Telegram 完成 Polymarket 上的市場瀏覽、倉位管理與資金調度。主要模塊包括:
開戶與面板:/start 會自動分配 Polygon 錢包並展示餘額,/home、/help 提供入口與指令說明。
行情與交易:/trending、/search、直接粘貼 Polymarket URL 都能拉取市場詳情;機器人提供市價/限價下單、訂單取消與圖表查看。
錢包與資金:/wallet 支持查看資產、提取資金、POL/USDC 互換、導出私鑰;/fund 指導充值流程。
跨鏈橋接:深度集成deBridge,幫助用戶從 Solana 橋入資產,並預設扣取 2% SOL 兌換成 POL 用於 Gas。
高級功能: /copytrade 打開複製交易界面,可按百分比、固定額度或自定義規則跟單,還能設置暫停、反向跟單、策略分享等擴展能力。
Polycule Trading Bot 負責與用戶對話、解析指令,也在後台管理密鑰、簽名交易並持續監聽鏈上事件。
用戶輸入 /start 後,後台自動生成 Polygon 錢包並保管私鑰,隨後可以繼續發送 /buy、/sell、/positions 等命令完成查盤、下單、管理倉位等操作。機器人還能解析 Polymarket 的網頁鏈接,直接返回交易入口。跨鏈資金則靠接入deBridge,支持把 SOL 橋接到 Polygon,並且預設抽出 2% SOL 換成 POL 供後續交易支付 Gas。更高級的功能包括 Copy Trading、限價單、自動監控目標錢包等,需要服務端長時間在線並持續代簽交易。
三、Telegram 交易機器人的共性風險
便利的聊天式交互背後,是幾個很難規避的安全短板:
首先,幾乎所有機器人都會把用戶私鑰放在自己的伺服器上,交易由後台直接代簽。這意味著一旦伺服器被攻破或者運維不慎洩露數據,攻擊者就能批量導出私鑰,把所有用戶的資金一次性卷走。其次,認證依賴 Telegram 帳號本身,若用戶遭遇 SIM 卡劫持或設備丟失,攻擊者無需掌握助記詞就能控制機器人帳號。最後,沒有本地彈窗確認這一步——傳統錢包每筆交易都需要用戶親自確認,而在機器人模式下,只要後台邏輯出了纰漏,系統就可能在用戶毫不知情的情況下自動把錢轉走。
四、Polycule 文件透露的特有攻面
結合文件內容,可以推測本次事件和未來潛在風險主要集中在以下幾點:
私鑰導出接口:/wallet 菜單允許用戶導出私鑰,說明後台保存的是可逆密鑰數據。一旦存在 SQL 注入、未授權接口或日誌洩漏,攻擊者便可直接調用導出功能,場景與此次被盜高度吻合。
**URL 解析可能觸發 SSRF:**機器人鼓勵用戶提交 Polymarket 連結獲取行情。如果輸入未經嚴密校驗,攻擊者可以偽造指向內網或雲服務元數據的連結,讓後台主動“踩坑”,進一步竊取憑證或配置。
**Copy Trading 的監聽邏輯:**複製交易意味著機器人會跟隨目標錢包同步操作。如果監聽到的事件可以被偽造,或者系統缺乏對目標交易的安全過濾,跟單用戶就有可能被帶入惡意合約,資金被鎖定甚至被直接抽走。
**跨鏈與自動換幣環節:**自動把 2% SOL 換成 POL 的流程涉及匯率、滑點、預言機和執行權限。如果程式碼中對這些參數的校驗不嚴密,黑客可能在橋接時放大換匯損失或轉移 Gas 預算。另外,一旦對 deBridge 回執的驗證有所欠缺,也會導致虛假充值或重複入帳的風險。
五、對專案團隊與用戶的提醒
專案團隊可以做的事情包括:在恢復服務前交付一份完整透明的技術復盤;對密鑰存儲、權限隔離、輸入校驗進行專項審計;重新梳理伺服器存取控制和程式碼發布流程;為關鍵操作引入二次確認或限額機制,降低進一步傷害。
終端用戶則應考慮控制在機器人中的資金規模,及時把盈利提走,並優先開啟 Telegram 的雙重驗證、獨立設備管理等防護手段。在專案方給出明確的安全承諾之前,不妨先觀望,避免追加本金。
六、後記
Polycule 的事故讓人再次意識到:當交易體驗被壓縮成一句聊天命令時,安全措施也得同步升級。Telegram 交易機器人短期內仍會是預測市場和 Meme 币的熱門入口,但這片領域也會持續成為攻擊者的狩獵場。我們建議專案方把安全建設當作產品的一部分,同步向用戶公開進展;用戶也應保持警覺,別把聊天快捷鍵當成無風險的資產管家。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Monad 官方 Twitter 帳號遭凍結,疑似捲入 X 平台的加密清理行動
Gate 新聞訊息,4 月 28 日——根據 X 平台數據,Monad 的官方 Twitter 帳號已被凍結。團隊與 X 尚未發布正式聲明,說明此次暫停的原因。
此次凍結發生之際,X 正在針對加密與 Web3 領域進行大規模清理,鎖定機器人行為、垃圾訊息、自動化行為以及不真實帳號。多個帳號受到影響,包括模因幣專案與與工具相關的帳號。
GateNews48分鐘前
ZachXBT 質疑 WorldCoin 低流通量、 高估值的 WLD 發行,並指出可能存在內線拋售
Gate 新聞訊息,4 月 28 日——鏈上偵探 ZachXBT 指控,WorldCoin (now World)(由 Sam Altman 創立的公司)推出了 WLD 代幣,流通量偏低、估值偏高,並沿用了 SBF 與 FTX 使用的模式。據 ZachXBT 稱,該公司向我們分發少量 WLD,以換取被宣稱用於身分驗證的生物特徵資料。然而,這項技術反而促成了已驗證帳戶在黑市上的交易。
ZachXBT 進一步表示,代幣供給正在以不具可持續性的速度擴張,同時內部人士會透過場外交易定期卸售其持倉。
GateNews2小時前
ZetaChain 因 $300K 智能合約遭攻擊而暫停跨鏈交易
Gate 新聞訊息,4 月 28 日——第 1 層網路 ZetaChain 已在其主網暫停跨鏈交易,原因是其 GatewayEVM 智能合約遭到攻擊。根據 DefiLlama 的數據,事件中損失了 $300,000,儘管 ZetaChain 團隊並未披露損失金額,並表示將發布一份詳細的事後檢討報告。
GatewayEVM 合約充當統一入口,用於外部 EVM 相容鏈與 ZetaChain 上的應用之間進行跨鏈互動。團隊確認,此次攻擊僅影響到內部的 ZetaChain 錢包,並已緩解攻擊途徑,以防止進一步資金遭到侵害。團隊表示:「作為預防措施,目前已暫停 ZetaChain 上的跨鏈交易。」團隊補充:「調查仍在進行中,截至目前,此次攻擊未影響任何用戶資金。」
截至週一美東時間晚上 9:00,距離識別攻擊已過去九小時,根據 ZetaChain 官方狀態頁,跨鏈交易仍維持暫停。ZetaChain 是一個以互通性為導向的第 1 層網路,定位為「第一個通用區塊鏈」,整合比特幣、以太坊與 Polygon;其主網於 2024 年初上線。
此次事件接續了由 LayerZero 驅動的 Kelp DAO 跨鏈橋漏洞事件;該事件耗盡了 百萬資金,並引發了「DeFi United」的形成——這是一個產業聯盟,旨在協助挽救 Aave 免於嚴重的壞帳。根據 DefiLlama 的資料,從 Kelp DAO 漏洞事件發生後,至少已發生 10 起針對各種 DeFi 專案的攻擊。
GateNews6小時前
當 DeFi 對年輕人太慢,對老錢來說太危險:我們都在拿公債利息扛垃圾債風險?
DeFi 曾以五位數 APY 吸引年輕人,如今被認為過度定價與風險過高。過去一年被竊超過 16.2 億美元,Aave 一度利率飆至 12.4%。公允殖利率約 12.55%,散戶門檻 18%,機構偏好「策略隔離金庫」以降低尾部風險。結論:高槓桿已不再,未來需更高風險定價與保險工具,才能同時容納年輕人與老錢。
鏈新聞abmedia22小時前
Robinhood 警告:部分客戶收到釣魚電子郵件
Gate News 訊息,4 月 27 日——Robinhood 在社群媒體上提醒用戶,部分客戶在上週日晚間收到了詐騙電子郵件,該郵件宣稱寄件者是 noreply@robinhood.com,郵件主旨為「Your recent login to Robinhood.」。
此次釣魚攻擊源於帳戶建立流程被濫用,而非公司系統或客戶帳戶遭到入侵。Robinhood 確認個人資訊與客戶資金未受影響。
GateNews22小時前
Websea 加密交易所疑似遭遇跑路詐騙,提款渠道關閉
Gate News 訊息,4 月 27 日——加密貨幣交易平台 Websea 已暫停提款並關閉其 C2C (點對點) 交易渠道,多位用戶表示該交易所似乎已進行「跑路詐騙」。平台起初曾限制提款,之後才完全關閉 C2C
GateNews22小時前
