Polycule grand vol dévoilé : pourquoi le robot de trading Telegram devient le terrain de chasse des hackers

DeFiCaffeinator · 2026-01-19T09:40:02+00:00

La vague de popularité des robots de trading Telegram s'accompagne de risques de piratage, Polycule a subi un vol de 230 000 USD, mettant en évidence des problèmes tels que le stockage centralisé des clés privées, une authentification unique et l'absence de mécanismes de confirmation par l'utilisateur. Il est conseillé aux équipes de projet de renforcer les audits de sécurité et d'alerter les utilisateurs, qui doivent également gérer leurs fonds de manière raisonnable, effectuer des retraits en temps utile et renforcer la sécurité de leurs comptes. Dans l'ensemble, la sécurité doit être intégrée à la conception des produits pour améliorer la transparence et la confiance.

DeFiCaffeinator

2026-01-19 09:40:02

Création du résumé en cours

Le marché des prédictions est sur le point de connaître une explosion des robots de trading Telegram, mais derrière cette vague de popularité se cache un nouveau terrain de chasse convoité par les hackers.

L’incident de vol soudain de 23 millions de dollars

Le 13 janvier, l’outil interactif de marché de prédiction Polycule, connu pour ses fonctionnalités, a révélé un incident de sécurité majeur : son robot de trading Telegram a été piraté, et environ 23 millions de dollars de fonds utilisateur ont été volés en un instant. L’équipe a réagi rapidement, le robot a été mis hors ligne, et une promesse de compensation pour les utilisateurs endommagés sur le réseau Polygon a été faite sur la blockchain. Cet incident sonne une fois de plus l’alarme — lorsque l’expérience de trading est concentrée en un seul message Telegram, à quel point la ligne de défense en matière de sécurité est-elle fragile ?

Comment fonctionne Polycule : le prix de la commodité

L’attractivité principale de Polycule est simple : les utilisateurs peuvent naviguer sur le marché, gérer leurs positions et déplacer des fonds sur Polymarket sans quitter Telegram. Cette expérience apparemment fluide repose en réalité sur un système complexe en arrière-plan.

Lorsque l’utilisateur tape /start, un portefeuille Polygon est automatiquement généré et sa clé privée est conservée — ce choix de conception est crucial. Ensuite, l’utilisateur peut effectuer des transactions via diverses commandes : /trending pour voir les marchés populaires, /search pour rechercher des prédictions spécifiques, coller directement un lien Polymarket pour obtenir des informations, ou encore utiliser /buy, /sell pour passer des ordres.

Les fonctionnalités phares de Polycule incluent :

Gestion de portefeuille : le menu /wallet permet de consulter les actifs, retirer des fonds, échanger POL/USDC, voire exporter la clé privée
Ponts inter-chaînes : intégration approfondie du protocole deBridge, permettant aux utilisateurs de transférer des actifs depuis Solana, avec une déduction automatique de 2% en SOL pour convertir en POL pour payer les frais de Gas
Copy Trading : la fonctionnalité la plus avancée — les utilisateurs peuvent suivre les opérations d’autres portefeuilles selon un pourcentage, un montant fixe ou des règles personnalisées, avec support pour le suivi inverse et le partage de stratégies

Tout cela est géré par le serveur central de Polycule qui signe les transactions en arrière-plan, écoute les événements sur la blockchain et gère en continu les clés. La commodité a un prix : celui du risque de centralisation.

Vulnérabilités systémiques du mode chatbot

La facilité d’utilisation des robots de trading Telegram en fait une cible privilégiée, en raison de trois problèmes structurels difficiles à contourner :

Première ligne de défense : stockage centralisé des clés privées

Presque tous les robots de trading Telegram stockent les clés privées des utilisateurs sur leurs serveurs, signant chaque transaction en leur nom. Bien que cette conception améliore l’expérience utilisateur (pas besoin d’autorisation manuelle), elle comporte aussi un risque : si le serveur est compromis, si la base de données est dérobée ou si un opérateur malveillant divulgue accidentellement la configuration, l’attaquant peut exporter en masse toutes les clés privées, permettant de transférer instantanément des millions de dollars.

Défaut de la deuxième ligne de défense : authentification unique

L’authentification repose entièrement sur le compte Telegram. Si un utilisateur est victime d’un détournement de SIM, perd son téléphone ou voit son compte piraté, l’attaquant n’a pas besoin de connaître la phrase de récupération ou le mot de passe : il peut simplement prendre le contrôle du robot via le compte Telegram.

Absence de mécanisme de confirmation utilisateur

Dans un portefeuille traditionnel, chaque transaction nécessite une confirmation manuelle via une fenêtre locale — c’est la dernière barrière humaine. Mais en mode robot, la conversation est asynchrone et textuelle, sans étape claire de « confirmation ». Si une faille ou une manipulation intervient dans la logique en arrière-plan, le système peut transférer des fonds à l’insu de l’utilisateur.

Les vulnérabilités spécifiques révélées par l’incident Polycule

En analysant la conception des fonctionnalités de Polycule, l’incident de vol et ses risques potentiels peuvent se concentrer sur plusieurs points :

Vulnérabilité d’exportation de la clé privée

Le menu /wallet permet aux utilisateurs d’exporter leur clé privée à tout moment, ce qui indique que le backend stocke des données de clés réversibles (et non un hash unidirectionnel). En cas d’injection SQL, d’API non autorisées ou de fuite de logs, un attaquant pourrait exploiter cette fonction pour extraire en masse des clés privées — ce qui correspond parfaitement au scénario de vol massif.

Possibilité d’attaque SSRF via l’analyse d’URL

Polycule encourage la soumission de liens Polymarket pour obtenir rapidement des détails de marché, mais si la validation des URL est insuffisante, un attaquant peut falsifier des liens pointant vers des ressources internes ou des métadonnées cloud. Lors de l’analyse de ces liens, le backend pourrait « tomber dans le piège » et exposer des informations sensibles comme l’IP interne, les identifiants de base de données ou les clés AWS.

Risques liés à l’écoute d’événements en Copy Trading

La fonctionnalité de copie de trading nécessite que le robot écoute en temps réel les opérations sur le portefeuille cible. Si ces événements d’écoute peuvent être falsifiés ou si le système manque de filtres de sécurité, l’utilisateur suivant pourrait être induit en erreur pour interagir avec des contrats malveillants, entraînant le verrouillage ou le vol direct de fonds.

Risques liés aux ponts inter-chaînes et à l’échange automatique

Le processus d’échange automatique de 2% de SOL en POL implique la consultation des taux, la gestion du slippage, l’appel à des oracles et l’exécution de permissions. Si ces paramètres ne sont pas strictement vérifiés, un hacker pourrait amplifier les pertes lors du pontage, transférer le budget Gas, ou falsifier des reçus de deBridge pour créer de fausses recharges ou des doublons.

Comment les projets et utilisateurs peuvent réagir

Recommandations pour l’équipe du projet

Publier un compte-rendu technique complet avant la reprise du service, précisant les points précis de l’attaque
Effectuer un audit de sécurité tiers sur la gestion des clés, l’isolation des permissions et la validation des entrées
Revoir les contrôles d’accès serveur, le processus de déploiement du code et les normes d’opération
Introduire une double confirmation ou des limites pour les opérations critiques (exportation de clés, transferts importants) afin de réduire le risque de point unique
Mettre en place une surveillance de sécurité transparente et un mécanisme de réponse aux incidents, en informant régulièrement les utilisateurs

Recommandations pour les utilisateurs finaux

Ne pas stocker de fonds importants dans le portefeuille robot, fixer une limite de position raisonnable
Retirer rapidement les gains de trading, éviter la réinvestition automatique des profits
Activer la double authentification Telegram (Two-Step Verification) et d’autres options de sécurité avancées
Gérer différents comptes Telegram sur différents appareils pour éviter un point de défaillance unique
Attendre une déclaration claire de l’équipe sur la sécurité et un rapport complet avant d’ajouter des fonds supplémentaires

L’avenir des marchés de prédiction et des robots Telegram

Les robots de trading Telegram resteront à court terme une porte d’entrée populaire pour les marchés de prédiction et les memecoins, leur commodité étant irrésistible. Mais ce secteur continuera aussi d’être une zone de chasse pour les attaquants — tant que les clés privées seront gérées de manière centralisée, le risque persistera.

Ce qui importe, c’est l’attitude des projets. La sécurité ne doit pas être une réparation après coup, mais intégrée dès la conception du produit. Que ce soit par l’introduction de signatures locales, la mise en œuvre de portefeuilles MPC ou l’intégration de hardware wallets, plusieurs options sont possibles. Par ailleurs, la transparence sur les progrès en matière de sécurité et la construction de la confiance deviennent aussi des facteurs clés de différenciation sur le marché.

L’incident Polycule montre en réalité que, lorsque nous profitons de la commodité des raccourcis de chat, nous devons aussi payer le prix du risque de centralisation.

POL-4,61%

USDC0,05%

SOL-5,38%

MEME5,57%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.