2026 年 1 月 13 日,Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击,约 23 万美元用户资金被盗。团队在 X 上快速更新:机器人随即下线,修复补丁火速推进,并承诺 Polygon 端的受影响用户将获赔付。从昨晚到今天的几轮通告,让 Telegram 交易机器人赛道的安全讨论持续升温。
Polycule 的定位很清晰:让用户在 Telegram 完成 Polymarket 上的市场浏览、仓位管理与资金调度。主要模块包括:
开户与面板:
行情与交易:
钱包与资金
跨链桥接:
高级功能:
Polycule Trading Bot 负责与用户对话、解析指令,也在后台管理密钥、签名交易并持续监听链上事件。
deBridge
便利的聊天式交互背后,是几个很难规避的安全短板:
首先,几乎所有机器人都会把用户私钥放在自己的服务器上,交易由后台直接代签。这意味着一旦服务器被攻破或者运维不慎泄露数据,攻击者就能批量导出私钥,把所有用户的资金一次性卷走。其次,认证依赖 Telegram 账号本身,若用户遭遇 SIM 卡劫持或设备丢失,攻击者无需掌握助记词就能控制机器人账户。最后,没有本地弹窗确认这一步——传统钱包每笔交易都需要用户亲自确认,而在机器人模式下,只要后台逻辑出了纰漏,系统就可能在用户毫不知情的情况下自动把钱转走。
结合文档内容,可以推测本次事件和未来潜在风险主要集中在以下几点:
私钥导出接口:
URL 解析可能触发 SSRF:
Copy Trading 的监听逻辑:
跨链与自动换币环节:
项目团队可以做的事情
终端用户则应
Polycule 的事故让人再次意识到:当交易体验被压缩成一句聊天命令时,安全措施也得同步升级。Telegram 交易机器人短期内仍会是预测市场和 Meme 币的热门入口,但这片领域也会持续成为攻击者的狩猎场。我们建议项目方把安全建设当作产品的一部分,同步向用户公开进展;用户也应保持警觉,别把聊天快捷键当成无风险的资产管家。
我们 ExVul Security,长期聚焦交易机器人与链上基础设施的攻防研究,可提供针对 Telegram 交易机器人的安全审计、渗透测试与应急响应服务。如果您的项目正处于开发或上线阶段,欢迎随时与我们联系,共同把潜在风险消灭在落地之前。
ExVul 是一家 Web3 安全公司,服务范围涵盖智能合约审计、区块链协议审计、钱包审计、Web3 渗透测试、安全咨询与规划。ExVul 致力于提升 Web3 生态整体安全性,始终站在 Web3 安全研究前沿领域。
Just Now
Dear LBank User
Our online customer service system is currently experiencing connection issues. We are working actively to resolve the problem, but at this time we cannot provide an exact recovery timeline. We sincerely apologize for any inconvenience this may cause.
If you need assistance, please contact us via email and we will reply as soon as possible.
Thank you for your understanding and patience.
LBank Customer Support Team