فضيحة سرقة Polycule تكشف النقاب: لماذا أصبحت روبوتات التداول على Telegram ساحة لصيد القراصنة

تستعد سوق التوقعات لانتعاش كبير مع ظهور روبوتات التداول على تيليجرام، لكن وراء هذا الاتجاه، يقف مشهد جديد من الثغرات التي يراقبها القراصنة باهتمام.

حادثة سرقة مفاجئة بقيمة 23 مليون دولار

في 13 يناير، أعلنت أداة التفاعل مع سوق التوقعات الشهيرة Polycule عن حادث أمني كبير: تعرض روبوتها على تيليجرام للاختراق، حيث تم سرقة حوالي 23 مليون دولار من أموال المستخدمين في لحظة واحدة. استجاب الفريق بسرعة، وتم إيقاف الروبوت على الفور، مع وعد على السلسلة بتعويض المستخدمين المتضررين على شبكة Polygon. يعيد هذا الحادث تذكيرنا بمدى هشاشة الدفاعات الأمنية عندما يتم اختزال تجربة التداول في رسالة تيليجرام واحدة فقط — كم هو ضعيف خط الدفاع هذا؟

كيف يعمل Polycule: الثمن وراء الراحة

الجانب الأساسي لجاذبية Polycule بسيط جدًا: يمكن للمستخدمين تصفح الأسواق، إدارة المراكز، وتحويل الأموال على Polymarket دون مغادرة تيليجرام. يبدو أن التجربة سلسة، لكنها في الواقع تعتمد على نظام خلفي معقد.

عند إدخال المستخدم /start، يتم تلقائيًا إنشاء محفظة Polygon وتخزين مفتاحها الخاص — وهو اختيار تصميم حاسم. بعد ذلك، يمكن للمستخدمين إتمام عمليات التداول عبر أوامر مختلفة: /trending لمشاهدة الأسواق الرائجة، /search للبحث عن توقعات معينة، أو لصق روابط Polymarket مباشرة للحصول على الأسعار، وحتى استخدام /buy و /sell لتنفيذ الأوامر مباشرة.

من الميزات البارزة في Polycule:

• إدارة المحفظة: قائمة /wallet تدعم عرض الأصول، سحب الأموال، تبادل POL/USDC، وحتى تصدير المفتاح الخاص
• الجسر العابر للسلاسل: تكامل عميق مع بروتوكول deBridge، حيث يمكن للمستخدمين نقل الأصول من سولانا، مع خصم تلقائي بنسبة 2% من SOL وتحويلها إلى POL لدفع رسوم الغاز
• Copy Trading: وهي من أعلى الميزات — حيث يمكن للمستخدمين متابعة عمليات محافظ أخرى بنسبة مئوية، أو بمبالغ ثابتة، أو وفق قواعد مخصصة، مع دعم التتبع العكسي ومشاركة الاستراتيجيات

كل ذلك يتم بواسطة خادم مركزي لـ Polycule يقوم بالتوقيع على المعاملات، ومراقبة الأحداث على السلسلة، وإدارة المفاتيح بشكل مستمر. الراحة تأتي مع مخاطر مركزة.

الثغرات النظامية في نمط روبوت الدردشة

سهولة استهداف روبوتات التداول على تيليجرام تعود في جوهرها إلى وجود ثلاثة مشاكل هيكلية يصعب تجنبها في هذا النموذج:

الفشل في الدفاع الأول: التخزين المركزي للمفاتيح الخاصة

تقريبًا جميع روبوتات التداول على تيليجرام تخزن المفاتيح الخاصة للمستخدمين على خوادمها، وتقوم بالتوقيع نيابة عنهم على كل عملية. رغم أن هذا يعزز تجربة المستخدم (لا حاجة لتفويض يدوي)، إلا أنه يعني أيضًا: بمجرد اختراق الخادم، أو سرقة قاعدة البيانات، أو تسريب تكوينات التشغيل، يمكن للمهاجمين تصدير جميع المفاتيح الخاصة للمستخدمين دفعة واحدة، ومن ثم سرقة مئات الملايين من الدولارات في لحظة.

العيب في الدفاع الثاني: الاعتماد على التحقق من الهوية الوحيد

يعتمد التحقق بشكل كامل على حساب تيليجرام نفسه. إذا تعرض المستخدم لسرقة رقم SIM، أو فقد هاتفه، أو تم اختراق حسابه، يمكن للمهاجمين دون معرفة كلمات المرور أو المفاتيح الاسترجاعية، السيطرة الكاملة على محفظة الروبوت.

غياب آلية تأكيد المستخدم

كل المعاملات في المحافظ التقليدية تتطلب تأكيدًا يدويًا من المستخدم على نافذة منبثقة محلية — وهو آخر خط دفاع يدوي. لكن في نمط الروبوت، الحوار بين المستخدم والروبوت غير متزامن، ويعتمد على النصوص، ولا يوجد أي خطوة واضحة لـ«التأكيد». إذا كانت هناك ثغرة في المنطق الخلفي أو تم التلاعب به، قد يتم تحويل الأموال بشكل تلقائي دون أن يدرك المستخدم.

الثغرات التي كشفت عنها حادثة Polycule

بالنظر إلى تصميم وظائف Polycule، فإن نقاط الخطر المحتملة التي ظهرت في حادثة السرقة قد تتركز في النقاط التالية:

ثغرة تصدير المفاتيح الخاصة

قائمة /wallet تسمح للمستخدمين بتصدير المفاتيح الخاصة في أي وقت، مما يدل على أن البيانات المخزنة على الخادم قابلة للعكس (وليس مجرد هاش غير قابل للاسترجاع). إذا كانت هناك ثغرة SQL injection، أو واجهات API غير مصرح بها، أو تسريب سجلات، يمكن للمهاجمين استدعاء وظيفة التصدير بشكل جماعي لاستخراج المفاتيح الخاصة — وهو السيناريو الذي يتطابق تمامًا مع السرقة الجماعية التي حدثت.

احتمالية استغلال URL في هجمات SSRF

تشجع Polycule المستخدمين على تقديم روابط Polymarket للحصول على تفاصيل السوق بسرعة، لكن إذا لم تكن التحقق من صحة الروابط صارمًا، يمكن للمهاجمين تزوير روابط موجهة إلى الشبكة الداخلية أو خدمات السحابة. عند تحليل هذه الروابط، قد يكتشف النظام الداخلي عناوين IP، أو بيانات اعتماد قواعد البيانات، أو مفاتيح AWS، مما يعرض معلومات حساسة للخطر.

مخاطر مراقبة الأحداث في Copy Trading

وظيفة التتبع في النسخ تعني أن الروبوت يحتاج إلى مراقبة العمليات على محفظة الهدف بشكل مستمر. إذا تم التلاعب في أحداث المراقبة أو لم تكن هناك فلاتر أمان كافية، قد يُخدع المستخدمون في التفاعل مع عقود ذكية خبيثة، مما يؤدي إلى حجز الأموال أو سرقتها مباشرة.

مخاطر متعددة في عمليات الجسر العابر وتبديل العملات التلقائي

عملية تحويل 2% من SOL إلى POL تتضمن استعلامات سعر الصرف، والتحكم في الانزلاق، واستدعاءات البيانات من أوثوريتي، وتنفيذ الأذونات. إذا لم تكن هناك فحوصات صارمة لهذه المعايير، يمكن للمهاجمين تضخيم خسائر التحويل، أو سرقة ميزانية الغاز، أو تزوير إيصالات deBridge لإنشاء إيداعات وهمية أو تكرار العمليات.

كيف ينبغي للمشاريع والمستخدمين التصرف

نصائح للمشاريع

• إصدار مراجعة تقنية كاملة بعد استعادة الخدمة، توضح فيها تفاصيل الاختراق
• إجراء تدقيق أمني خارجي خاص على آلية تخزين المفاتيح، وفصل الأذونات، والتحقق من المدخلات
• إعادة تنظيم التحكم في الوصول للخوادم، وعمليات نشر الكود، ومعايير التشغيل
• إضافة آليات تأكيد ثانوية أو حدود للعمليات الحساسة مثل تصدير المفاتيح أو التحويلات الكبيرة، لتقليل المخاطر الفردية
• إنشاء نظام مراقبة أمني شفاف واستجابة للحوادث، مع تحديثات دورية للمستخدمين

نصائح للمستخدمين النهائيين

• لا تترك مبالغ كبيرة في محافظ الروبوتات، ويجب تحديد حد أعلى للمراكز
• سحب أرباح التداول بشكل منتظم، وعدم ترك الأرباح تتراكم في الروبوت
• تفعيل التحقق بخطوتين (Two-Step Verification) وخيارات الأمان المتقدمة على تيليجرام
• إدارة حسابات تيليجرام على أجهزة مختلفة لتقليل الاعتماد على نقطة فشل واحدة
• قبل أن تقدم المشاريع وعودًا أمنية واضحة وتقوم بمراجعة كاملة، من الأفضل الانتظار وعدم زيادة رأس المال بشكل مفرط