Обнаружена крупная кража Polycule: Почему торговый бот Telegram стал полем охоты для хакеров

预测市场正在迎来一波 Telegram 交易机器人的爆发，但这股热潮背后，正是黑客们虎视眈眈的新猎场。

##突如其来的 23 万美元被盗案

13 января, известный инструмент взаимодействия с предсказательными рынками Polycule официально сообщил о крупном инциденте безопасности: его Telegram-бот для торговли был взломан, и около 23 миллионов долларов пользовательских средств были мгновенно украдены. Команда срочно отреагировала, бот был отключен, и на блокчейне пообещали возместить ущерб пострадавшим пользователям в сети Polygon. Этот инцидент вновь напоминает — насколько хрупка защита, когда торговый опыт сводится к одному сообщению в Telegram?

Как работает Polycule: цена удобства

Основная привлекательность Polycule очень проста: пользователи могут просматривать рынки, управлять позициями и распоряжаться средствами на Polymarket, не покидая Telegram. Казалось бы, бесшовный опыт, но на самом деле он построен на сложной backend-системе.

Когда пользователь вводит /start, backend автоматически создает кошелек Polygon и хранит его приватный ключ — это критически важный дизайн. Затем пользователь может выполнять сделки через команды: /trending — просмотреть популярные рынки, /search — искать конкретные предсказания, вставлять ссылки Polymarket для получения котировок, а также использовать /buy, /sell для размещения ордеров.

Ключевые функции Polycule включают:

• Управление кошельком: меню /wallet позволяет просматривать активы, выводить средства, обменивать POL/USDC и даже экспортировать приватный ключ
• Мосты между цепочками: глубокая интеграция с протоколом deBridge, позволяющая пользователям мостить активы с Solana, при этом система автоматически списывает 2% SOL и конвертирует их в POL для оплаты Gas
• Copy Trading: продвинутая функция — пользователи могут копировать операции других кошельков по процентам, фиксированным суммам или по собственным правилам, поддерживается обратное копирование и обмен стратегиями

Все это осуществляется через центральный сервер Polycule, который подписывает транзакции, слушает события в цепочке и управляет ключами. Удобство — за счет концентрации рисков.

Системные уязвимости чат-ботов

Почему Telegram-боты для торговли так легко становятся мишенями атак? В основе — три структурных проблемы, трудноустранимых в этой модели:

Первая линия защиты: централизованное хранение приватных ключей

Практически все Telegram-боты хранят приватные ключи пользователей на своих серверах, подписывая транзакции от имени пользователя. Этот дизайн повышает удобство (не нужно вручную подтверждать), но также означает, что при взломе сервера, утечке базы данных или ошибках в конфигурации злоумышленники могут массово экспортировать приватные ключи и мгновенно перевести миллионы долларов.

Недостатки второй линии защиты: односторонняя аутентификация

Аутентификация полностью зависит от аккаунта Telegram. Если пользователь подвергся SIM-атаке, потерял телефон или его аккаунт украден, злоумышленник без знания мнемоники или пароля сможет полностью захватить бота и его кошелек.

Отсутствие третьей линии защиты: отсутствие механизма подтверждения пользователем

В традиционных кошельках каждая транзакция требует подтверждения на локальном устройстве — это последняя барьер. В режиме бота диалог асинхронен, текстовый, без явного «подтверждения». Если есть уязвимость или изменение логики на сервере, система может автоматически перевести средства без ведома пользователя.

Уязвимости, выявленные в инциденте Polycure

Исходя из функционала Polycure, возможные точки атаки и риски связаны с:

Уязвимость экспорта приватных ключей

Меню /wallet позволяет экспортировать приватный ключ в любой момент, что говорит о хранении обратимых ключей (не хэшах). При наличии SQL-инъекций, неавторизованных API или утечек логов злоумышленники могут массово вызвать экспорт и получить приватные ключи — что полностью совпадает с масштабной кражей.

Потенциальные SSRF-атаки через URL

Polycure поощряет вставлять ссылки Polymarket для быстрого получения данных. Но при недостаточной проверке URL злоумышленник может подделать ссылку, указывающую на внутренние ресурсы или метаданные облака. В процессе парсинга такие ссылки могут раскрыть внутренние IP, кредиты баз данных, ключи AWS и другие чувствительные данные.

Риски слежения за Copy Trading

Функция копирования сделок требует в реальном времени слушать цепочные события целевого кошелька. Если эти события можно подделать или система не фильтрует их должным образом, пользователь может взаимодействовать с вредоносными контрактами, что приведет к блокировке или краже средств.

Мульти-риск при межцепочечных обменах и автоматической конвертации

Автоматический обмен 2% SOL на POL включает проверку курса, контроль проскальзывания, вызовы оракулов и разрешения. При недостаточной проверке злоумышленник может увеличить потери при мостинге, перенаправить Gas или сфальсифицировать подтверждения deBridge, создавая ложные зачисления или дублирование.

Как проектам и пользователям реагировать

Рекомендации для команд проектов

• Перед восстановлением сервиса опубликовать полный разбор инцидента, указать конкретные уязвимые места
• Провести сторонний аудит безопасности по хранению ключей, разграничению прав и валидации входных данных
• Пересмотреть контроль доступа к серверам, процессы релиза кода и стандарты эксплуатации
• Ввести двухфакторное подтверждение или лимиты для критических операций (экспорт ключей, крупные переводы)
• Создать прозрачную систему мониторинга и реагирования, регулярно информировать пользователей

Рекомендации для конечных пользователей

• Не храните крупные суммы на бот-кошельках, установите лимиты
• Регулярно выводите прибыль, не позволяйте ей накапливаться
• Включите двухфакторную аутентификацию в Telegram и используйте расширенные настройки безопасности
• Управляйте разными аккаунтами на разных устройствах, избегайте единой точки отказа
• Пока проект не предоставит ясных гарантий и полного разбора, лучше воздержаться от вложений или увеличения средств

Будущее предсказательных рынков и Telegram-ботов

В краткосрочной перспективе Telegram-боты останутся популярным способом доступа к предсказательным рынкам и мемным монетам, благодаря удобству. Но этот сегмент также продолжит привлекать злоумышленников — пока приватные ключи централизованно управляются, риски сохраняются.

Ключевое — отношение команд. Безопасность должна быть заложена с первых дней разработки. Внедрение локальной подписи, MPC-кошельков или аппаратных решений — все это возможные направления. Также важна прозрачность и доверие со стороны пользователей, что станет важным фактором конкурентоспособности.

Инцидент Polycule показывает всему рынку: пока мы наслаждаемся удобством чат-ботов, мы платим ценой за централизованные риски.