На Polymarket був атакований топовий торговий бот Polycule, як проект прогнозних ринків має забезпечити належний рівень безпеки?

Автор: ExVul Security, компанія з безпеки Web3

І. Швидкий огляд події

13 січня 2026 року офіційний канал Polycule підтвердив, що їхній торговий бот у Telegram зазнав хакерської атаки, внаслідок якої було викрадено близько 230 000 доларів США користувацьких коштів. Команда швидко оновила інформацію в X: бот був виведений з роботи, швидко запущено виправлення, а також пообіцяли компенсацію для постраждалих користувачів на Polygon. Кілька повідомлень з вчорашнього вечора і сьогодні сприяли подальшому загостренню дискусії щодо безпеки у сфері Telegram-трейдингу.

ІІ. Як працює Polycule

Місія Polycule дуже чітка: дозволити користувачам у Telegram переглядати ринки, керувати позиціями та переказами на Polymarket. Основні модулі включають:

Відкриття рахунку та панель: /start автоматично призначає Polygon-гаманець і показує баланс, /home, /help — доступ і інструкції.

Ринки та торгівля: /trending, /search, вставка URL Polymarket — все це дозволяє отримати деталі ринку; бот підтримує ринкові/лімітні ордери, скасування ордерів і перегляд графіків.

Гаманець і кошти: /wallet — перегляд активів, зняття коштів, обмін POL/USDC, експорт приватних ключів; /fund — інструкції щодо поповнення.

Мостовий перехід: глибока інтеграція з deBridge, допомагає користувачам перекидати активи з Solana, автоматично списуючи 2% SOL для обміну на POL для газу.

Розширені функції: /copytrade — відкриває інтерфейс копіювання торгів, можна слідувати за відсотками, фіксованими сумами або за власними правилами, а також налаштовувати паузи, реверсні копії, обмін стратегій тощо.

Polycule Trading Bot відповідає за спілкування з користувачами, аналіз команд, а також у фоновому режимі керує ключами, підписує транзакції і слідкує за подіями в блокчейні.

Після введення /start, бекенд автоматично створює Polygon-гаманець і зберігає приватний ключ, далі користувач може надсилати /buy, /sell, /positions та інші команди для перегляду балансу, розміщення ордерів і управління позиціями. Бот також може аналізувати посилання на Polymarket і безпосередньо повертати посилання для торгівлі. Мостові перекази здійснюються через підключення deBridge, що підтримує переказ SOL на Polygon, а також автоматично списує 2% SOL для обміну на POL для оплати газу. Розширені функції включають Copy Trading, лімітні ордери, автоматичний моніторинг цільових гаманців тощо, що вимагає тривалого онлайн-сервера і постійного підписання транзакцій.

ІІІ. Загальні ризики Telegram-трейдинг-ботів

Зручний чат-інтерфейс приховує кілька серйозних безпекових вразливостей:

По-перше, майже всі боти зберігають приватні ключі користувачів на своїх серверах, а транзакції підписуються у бекенді. Це означає, що при зломі сервера або витоку даних через недбалість, зловмисники можуть масово експортувати приватні ключі і вкрасти всі кошти користувачів одночасно. По-друге, аутентифікація залежить від облікового запису Telegram, і якщо користувач потрапить під SIM-крадіжку або втратить пристрій, зловмисник зможе керувати бот-акаунтом без знання мнемонічної фрази. Нарешті, відсутня локальна підтверджувальна віконна форма — традиційні гаманці вимагають підтвердження кожної транзакції, тоді як у бот-режимі, при помилках у логіці бекенду, система може автоматично переказати кошти без відома користувача.

ІV. Унікальні вразливості, викриті документацією Polycule

Аналізуючи документацію, можна припустити, що цей інцидент і потенційні майбутні ризики зосереджені у таких сферах:

Інтерфейс експорту приватних ключів: /wallet дозволяє користувачам експортувати приватні ключі, що свідчить про збереження у бекенді зворотних ключових даних. При наявності SQL-ін’єкцій, неавторизованих API або витоку логів, зловмисники можуть безпосередньо викликати функцію експорту, що співпадає з ситуацією крадіжки.

Можливість SSRF через парсинг URL: бот заохочує користувачів вставляти посилання Polymarket для отримання ринкових даних. Якщо валідація URL недостатня, зловмисник може підробити посилання, що ведуть до внутрішніх мереж або метаданих хмарних сервісів, і змусити бекенд “потрапити в пастку”, викравши облікові дані або конфігурацію.

Логіка слідкування Copy Trading: копіювання торгів означає, що бот слідує за цільовим гаманцем у реальному часі. Якщо події можна підробити або відсутній захист від фальсифікації, користувачі, що копіюють, можуть бути втягнуті у зловмисні контракти, а їхні кошти — заблоковані або виведені.

Мостові перекази і автоматична конвертація: процес автоматичного обміну 2% SOL на POL залежить від курсу, спреду, оракулів і прав доступу. Недостатня перевірка цих параметрів може дозволити хакерам збільшити втрати при мостовому переказі або зловживати бюджетом газу. Також, якщо валідація підтверджень від deBridge недостатня, існує ризик фальшивих поповнень або дублювання записів.

V. Рекомендації для команди проекту та користувачів

Що може зробити команда: провести повний і прозорий технічний аналіз перед відновленням сервісу; провести аудит зберігання ключів, ізоляції прав і вхідних даних; переглянути контроль доступу до серверів і процеси релізу коду; ввести двоетапне підтвердження або ліміти для важливих операцій, щоб зменшити шкоду у разі повторних інцидентів.

Користувачам рекомендується: обмежити суму коштів у боті, своєчасно знімати прибутки, активувати двофакторну автентифікацію у Telegram і використовувати окремі пристрої для безпеки. Поки проект не дасть чітких гарантій безпеки, краще почекати і не вкладати додаткові кошти.

Шосте. Післяслово

Інцидент з Polycule знову нагадує: коли торговий досвід зводиться до однієї чат-команди, заходи безпеки мають також швидко оновлюватися. Telegram-трейдинг-боти залишатимуться популярним входом у ринки прогнозів і Meme-коінів у короткостроковій перспективі, але ця сфера також стане полем для полювання зловмисників. Ми радимо проектам ставити безпеку на рівень продукту і відкрито інформувати користувачів про прогрес; користувачам — бути пильними і не вважати чат-інтерфейс безпечним сховищем активів.