Incidente de Polycule expuesto: por qué los bots de trading en Telegram se han convertido en un campo de caza para hackers

El mercado de predicciones está experimentando una oleada de explosión de bots de trading en Telegram, pero detrás de esta tendencia, los hackers ven un nuevo campo de caza.

La repentina pérdida de 230,000 dólares

El 13 de enero, la conocida herramienta de interacción en mercados de predicción Polycule anunció un incidente de seguridad importante: su bot de trading en Telegram fue hackeado, y aproximadamente 230,000 dólares en fondos de usuarios fueron robados en un instante. El equipo reaccionó de inmediato, el bot fue desconectado y en la cadena de bloques se prometió compensar a los usuarios afectados en la red Polygon. Este incidente vuelve a sonar la alarma: ¿qué tan frágiles son las defensas de seguridad cuando la experiencia de trading se reduce a un mensaje de Telegram?

Cómo funciona Polycule: el precio de la conveniencia

El atractivo principal de Polycule es simple: los usuarios pueden navegar por los mercados, gestionar posiciones y mover fondos en Polymarket sin salir de Telegram. La experiencia aparentemente fluida, en realidad, se apoya en un sistema complejo en segundo plano.

Cuando el usuario ingresa /start, el backend genera automáticamente una cartera en Polygon y guarda su clave privada — esta decisión de diseño es crucial. Luego, los usuarios pueden realizar transacciones mediante diversos comandos: /trending para ver los mercados populares, /search para buscar predicciones específicas, pegar enlaces de Polymarket para obtener cotizaciones, e incluso usar /buy y /sell para realizar órdenes directamente.

Las funciones destacadas de Polycule incluyen:

• Gestión de carteras: el menú /wallet permite ver activos, retirar fondos, intercambiar POL/USDC, e incluso exportar la clave privada
• Puente entre cadenas: integración profunda con el protocolo deBridge, permitiendo a los usuarios transferir activos desde Solana, con el sistema deduciendo automáticamente un 2% en SOL y cambiándolo a POL para pagar las tarifas de gas
• Copy Trading: esta es la función más avanzada — los usuarios pueden seguir las operaciones de otros wallets en porcentaje, monto fijo o reglas personalizadas, incluso soporta seguir en reversa y compartir estrategias

Todo esto es gestionado por el servidor central de Polycule, que firma las transacciones en segundo plano, escucha eventos en la cadena y administra las claves de forma continua. La conveniencia, sin embargo, conlleva riesgos de centralización acumulados.

Vulnerabilidades sistémicas en el modo chatbot

La razón por la que los bots de trading en Telegram son objetivos fáciles de ataque, radica en tres problemas estructurales inherentes a este modelo:

Primera línea de defensa fallida: almacenamiento centralizado de claves privadas

Casi todos los bots de trading en Telegram almacenan las claves privadas de los usuarios en sus servidores, firmando las transacciones en nombre de ellos. Aunque esto mejora la experiencia (sin necesidad de autorización manual), también significa que: si el servidor es comprometido, la base de datos es robada, o el personal de operaciones filtra accidentalmente la configuración, los atacantes pueden exportar en masa las claves privadas de todos los usuarios y transferir millones de dólares en fondos en un instante.

Defecto en la segunda línea de defensa: autenticación única

La autenticación depende completamente de la cuenta de Telegram. Si un usuario sufre secuestro de SIM, pérdida del teléfono o robo de cuenta, el atacante no necesita conocer ninguna frase mnemónica o contraseña, solo controlar la cuenta de Telegram para tomar el control total del wallet del bot.

Falta de mecanismo de confirmación del usuario

En los wallets tradicionales, cada transacción requiere que el usuario confirme en una ventana emergente local — esta es la última línea de defensa manual. Pero en modo bot, la interacción es asíncrona y textual, sin un paso claro de «confirmación». Si la lógica del backend tiene vulnerabilidades o es manipulada, el sistema puede transferir fondos automáticamente sin que el usuario se dé cuenta.

Áreas de ataque específicas reveladas por el incidente de Polycule

Considerando el diseño funcional de Polycule, el robo y los riesgos potenciales pueden concentrarse en los siguientes aspectos:

Vulnerabilidad en permisos para exportar claves privadas

El menú /wallet permite a los usuarios exportar sus claves privadas en cualquier momento, lo que indica que el backend almacena datos de claves reversibles (no solo hashes unidireccionales). Si hay inyección SQL, API no autorizadas o filtraciones en los logs, los atacantes pueden llamar a la función de exportación en masa y extraer claves privadas — esto coincide con el escenario de robo masivo.

Posible ataque SSRF mediante análisis de URLs

Polycule anima a los usuarios a enviar enlaces de Polymarket para obtener detalles rápidamente, pero si la validación de URLs no es estricta, un atacante puede falsificar enlaces que apunten a recursos internos o metadatos en la nube. Cuando el backend analiza estos enlaces, puede «caer en la trampa», exponiendo IPs internas, credenciales de bases de datos, claves de AWS y otra información sensible.

Riesgo en la escucha de eventos en Copy Trading

La función de copiar operaciones requiere que el bot escuche en tiempo real las acciones en la cadena del wallet objetivo. Si estos eventos pueden ser falsificados o el sistema carece de filtros de seguridad, los usuarios que siguen pueden ser inducidos a interactuar con contratos maliciosos, lo que puede bloquear fondos o transferirlos directamente.

Riesgos en puentes entre cadenas y cambios automáticos

El proceso de convertir automáticamente un 2% de SOL en POL involucra consulta de tasas, control de deslizamiento, llamadas a oráculos y permisos de ejecución. Si estos parámetros no se validan correctamente, los hackers pueden amplificar pérdidas en el cambio, transferir fondos de gas o falsificar recibos de deBridge para crear depósitos falsos o duplicados.

Cómo deben actuar los proyectos y usuarios

Recomendaciones para los equipos de proyecto

• Publicar un análisis técnico completo antes de reactivar el servicio, explicando claramente los puntos específicos del ataque
• Realizar auditorías de seguridad independientes en mecanismos de almacenamiento de claves, aislamiento de permisos y validación de entradas
• Revisar controles de acceso en servidores, procesos de despliegue de código y normas de operación
• Implementar confirmaciones secundarias o límites en operaciones críticas (como exportación de claves o transferencias grandes) para reducir riesgos de punto único
• Establecer monitoreo de seguridad transparente y mecanismos de respuesta a incidentes, informando periódicamente a los usuarios

Recomendaciones para los usuarios finales

• No mantener fondos grandes en wallets de bots por períodos prolongados; establecer límites razonables
• Retirar ganancias oportunamente y no dejar que las ganancias se acumulen en el bot
• Activar la verificación en dos pasos (Two-Step Verification) y otras opciones de seguridad avanzadas en Telegram
• Gestionar diferentes cuentas de Telegram en distintos dispositivos para evitar puntos únicos de fallo
• Esperar a que los proyectos publiquen compromisos de seguridad claros y análisis completos antes de añadir más fondos, evitando apresurarse a aumentar la inversión

El futuro de los mercados de predicción y los bots en Telegram

Los bots de trading en Telegram seguirán siendo una vía popular para mercados de predicción y memecoins en el corto plazo, dada su conveniencia. Pero también continuarán siendo un campo de caza para atacantes — mientras las claves privadas de los usuarios sigan centralizadas, el riesgo persistirá.

La clave está en la postura de los proyectos. La seguridad no debe ser una reparación posterior, sino una integración desde el diseño del producto desde el primer día. Introducir firmas locales, implementar carteras MPC o integrar hardware wallets son caminos viables. Además, la transparencia en avances de seguridad y la construcción de confianza serán factores clave en la competencia del mercado.

Este incidente de Polycule en realidad está diciendo a toda la industria: mientras disfrutamos de la conveniencia de los atajos en chat, también debemos pagar el precio por la centralización de riesgos.