Der Top-Handelsbot Polycule auf Polymarket wurde angegriffen. Wie kann das Prognosemarktprojekt für eine angemessene Sicherheit sorgen?

Autor: ExVul Security, Web3-Sicherheitsunternehmen

一、Ereigniszusammenfassung

Am 13. Januar 2026 bestätigte Polycule offiziell, dass ihr Telegram-Handelsbot Opfer eines Hackerangriffs wurde, bei dem etwa 230.000 US-Dollar an Nutzerfonds gestohlen wurden. Das Team aktualisierte schnell auf X: Der Bot wurde sofort offline genommen, Patches wurden zügig vorangetrieben, und es wurde versprochen, betroffene Nutzer auf Polygon-Seite zu entschädigen. Mehrere Mitteilungen seit gestern bis heute haben die Sicherheitsdiskussion im Bereich der Telegram-Handelsbots weiter angeheizt.

二、Wie Polycule funktioniert

Polycule hat eine klare Positionierung: Nutzer können auf Telegram Marktdurchsichten, Positionsverwaltung und Kapitalsteuerung auf Polymarket durchführen. Die Hauptmodule umfassen:

Kontoeröffnung und Dashboard: /start weist automatisch eine Polygon-Wallet zu und zeigt das Guthaben an, /home, /help bieten Zugänge und Befehlsbeschreibungen.

Marktdaten und Handel: /trending, /search, direkte Einfügung der Polymarket-URL rufen Marktdetails ab; der Bot bietet Market- und Limit-Orders, Auftragsstornierungen und Chart-Ansichten.

Wallet und Kapital: /wallet ermöglicht Kontostandsanzeige, Abhebungen, POL/USDC Tausch, Export des Private Keys; /fund führt in den Einzahlungsprozess ein.

Cross-Chain-Brücke: Tief integriert deBridge, hilft Nutzern, Assets von Solana zu bridgen, und zieht standardmäßig 2% SOL ab, um in POL für Gas umzutauschen.

Erweiterte Funktionen: /copytrade öffnet die Kopierhandels-Ansicht, ermöglicht das Folgen per Prozentsatz, Fixbetrag oder benutzerdefinierte Regeln, sowie Pausieren, Reverse-Follow, Strategien teilen und weitere Erweiterungen.

Der Polycule Trading Bot kommuniziert mit Nutzern, interpretiert Befehle, verwaltet im Hintergrund Schlüssel, signiert Transaktionen und überwacht kontinuierlich Chain-Events.

Nach Eingabe von /start generiert der Backend automatisch eine Polygon-Wallet und verwahrt den Private Key. Danach können Nutzer weitere Befehle wie /buy, /sell, /positions senden, um Kontostände zu prüfen, Orders zu platzieren und Positionen zu verwalten. Der Bot kann auch Polymarket-Weblinks analysieren und direkt den Handelszugang zurückgeben. Für Cross-Chain-Transfers nutzt er deBridge, unterstützt das Bridgen von SOL auf Polygon und zieht standardmäßig 2% SOL ab, um in POL für zukünftige Gaszahlungen zu tauschen. Fortgeschrittene Funktionen wie Copy Trading, Limit-Orders und automatische Überwachung von Ziel-Wallets erfordern einen dauerhaft online laufenden Server, der Transaktionen im Namen der Nutzer signiert.

三、Gemeinsame Risiken bei Telegram-Handelsbots

Hinter der bequemen chatbasierten Interaktion verbergen sich einige schwer vermeidbare Sicherheitsmängel:

Erstens speichern fast alle Bots die Private Keys der Nutzer auf ihren Servern, Transaktionen werden im Hintergrund im Auftrag signiert. Das bedeutet, bei einem Server-Hack oder unvorsichtiger Datenfreigabe könnten Angreifer Massen-Exporte der Private Keys durchführen und alle Nutzerfonds auf einmal stehlen. Zweitens basiert die Authentifizierung auf dem Telegram-Konto selbst. Bei SIM-Karten-Übernahme oder Geräteverlust können Angreifer das Bot-Konto kontrollieren, ohne die Mnemonik zu kennen. Drittens gibt es keinen lokalen Pop-up-Confirm – während bei traditionellen Wallets jede Transaktion eine manuelle Bestätigung erfordert, kann bei Bots eine Sicherheitslücke im Backend dazu führen, dass Geld automatisch ohne Wissen des Nutzers transferiert wird.

四、Spezifische Angriffspunkte, die in der Polycule-Dokumentation sichtbar werden

In Kombination mit den Dokumenteninhalten lässt sich vermuten, dass die aktuellen und zukünftigen Risiken vor allem in folgenden Bereichen liegen:

Private-Key-Export-Interface: /wallet erlaubt Nutzern, Private Keys zu exportieren, was darauf hindeutet, dass das Backend reversibel verschlüsselte Schlüssel speichert. Bei SQL-Injection, unautorisierten Schnittstellen oder Log-Leaks könnten Angreifer die Exportfunktion direkt ausnutzen, was den aktuellen Diebstahl-Szenarien sehr ähnlich ist.

URL-Parsing könnte SSRF auslösen: Der Bot fordert Nutzer auf, Polymarket-Links zu schicken, um Marktdaten zu erhalten. Wenn die Eingaben nicht streng validiert werden, könnten Angreifer Links fälschen, die auf interne Netzwerke oder Cloud-Metadaten zeigen, um das Backend in eine Falle zu locken und so Zugangsdaten oder Konfigurationen zu stehlen.

Copy Trading Überwachungslogik: Das Kopieren von Trades bedeutet, dass der Bot Ziel-Wallets verfolgt und Aktionen synchronisiert. Wenn die Überwachung durch gefälschte Events manipuliert werden kann oder das System keine sicheren Filter für Ziel-Transaktionen hat, könnten Nutzer auf bösartige Smart Contracts gelenkt werden, was zu Geldauslockung oder direktem Diebstahl führt.

Cross-Chain und automatische Token-Konvertierung: Der automatische Tausch von 2% SOL in POL hängt von Wechselkursen, Slippage, Oracles und Ausführungsrechten ab. Wenn die Validierung dieser Parameter unzureichend ist, könnten Hacker bei der Brücke größere Verluste verursachen oder Gas-Budgets umleiten. Zudem besteht bei unzureichender Prüfung der deBridge-Quittungen das Risiko von Fake-Deposits oder doppelten Buchungen.

五、Hinweise für Projektteams und Nutzer

Was das Projektteam tun kann: Vor der Wiederaufnahme des Dienstes sollte eine vollständige, transparente technische Nachbetrachtung erfolgen; eine spezielle Prüfung der Schlüsselverwaltung, Zugriffsrechte und Input-Validierung; Überarbeitung der Serverzugriffssteuerung und des Release-Prozesses; sowie die Einführung von Zweitbestätigungen oder Limits bei kritischen Aktionen, um weiteren Schaden zu minimieren.

Nutzer sollten: Das Kapital, das im Bot gehalten wird, kontrollieren, Gewinne rechtzeitig abziehen und möglichst Zwei-Faktor-Authentifizierung sowie Geräte-Management aktivieren. Solange das Projekt keine klare Sicherheitszusage gibt, ist es ratsam, abzuwarten und keine zusätzlichen Einlagen zu tätigen.

六、Nachwort

Der Vorfall bei Polycule macht erneut deutlich: Wenn das Handelserlebnis auf einen Chat-Befehl reduziert wird, müssen Sicherheitsmaßnahmen parallel mitwachsen. Telegram-Handelsbots bleiben kurzfristig eine beliebte Schnittstelle für Markt- und Meme-Coin-Trades, doch dieser Bereich wird auch weiterhin Ziel von Angreifern sein. Wir empfehlen den Projekten, Sicherheitsaspekte als integralen Bestandteil des Produkts zu betrachten und Fortschritte offen zu kommunizieren; Nutzer sollten wachsam bleiben und Chat-Shortcuts nicht als risikofreie Asset-Manager ansehen.