Виявлено інцидент з Polycule: Чому торгові боти Telegram стали полем для полювання хакерів

Прогнозний ринок переживає сплеск популярності Telegram-ботів для торгівлі, але за цим трендом ховається нове полювання хакерів.

Неочікуване викрадення 23 мільйонів доларів

13 січня відомий інструмент для взаємодії з прогнозними ринками Polycule офіційно повідомив про серйозну безпекову інцидент: їх Telegram-бот для торгівлі був зламаний, і близько 23 мільйонів доларів користувацьких коштів було миттєво викрадено. Команда швидко відреагувала, бот був відключений, і на блокчейні пообіцяли відшкодувати постраждалим користувачам у мережі Polygon. Цей інцидент знову нагадує — наскільки крихкою є безпека, коли торговий досвід зводиться до одного повідомлення в Telegram?

Як працює Polycule: зручність за рахунок ціни

Основна привабливість Polycule проста: користувачі можуть переглядати ринки, керувати позиціями та переказувати кошти прямо у Telegram, не виходячи з месенджера. Здається, що досвід безшовний, але насправді він базується на складній бекенд-системі.

Коли користувач вводить /start, бекенд автоматично створює Polygon-гаманець і зберігає його приватний ключ — цей дизайн має важливе значення. Потім користувач може виконувати операції за допомогою команд: /trending для перегляду популярних ринків, /search для пошуку конкретних прогнозів, вставляти посилання Polymarket для отримання інформації або використовувати /buy, /sell для безпосереднього розміщення ордерів.

Головні функції Polycule включають:

• Керування гаманцем: меню /wallet дозволяє переглядати активи, знімати кошти, обмінювати POL/USDC, а також експортувати приватний ключ
• Мостове з’єднання: глибока інтеграція з протоколом deBridge, що дозволяє користувачам мостити активи з Solana, автоматично списуючи 2% SOL і конвертуючи їх у POL для оплати Gas
• Copy Trading: найвищий рівень функціоналу — користувачі можуть слідувати за іншими гаманцями за відсотками, фіксованими сумами або за власними правилами, підтримується навіть зворотне копіювання та обмін стратегій

Все це виконується централізованим сервером Polycule, який підписує транзакції, слідкує за подіями на ланцюгу та керує ключами. Зручність — це також і ризик концентрації.

Системні вразливості чат-ботів

Telegram-боти для торгівлі легко стають мішенню для атак через три структурні проблеми:

Перша лінія захисту: централізоване зберігання приватних ключів

Практично всі Telegram-боти з торгівлі зберігають приватні ключі користувачів на своїх серверах, підписуючи транзакції від їх імені. Це покращує досвід (не потрібно вручну підтверджувати), але одночасно означає, що при зломі сервера, витоку бази даних або недбалості операційного персоналу, зловмисники можуть масово експортувати приватні ключі і миттєво переказати мільйони доларів.

Друга лінія захисту: одностороння аутентифікація

Аутентифікація повністю залежить від облікового запису Telegram. Якщо користувач стане жертвою SIM-крадіжки, втратить телефон або його акаунт буде зламано, зловмисник без знання мнемоніки або пароля зможе повністю взяти контроль над гаманцем бота.

Третя лінія захисту: відсутність механізму підтвердження користувача

У традиційних гаманцях кожна транзакція вимагає підтвердження на локальному пристрої — це останній бар’єр безпеки. У бот-режимі діалог між користувачем і ботом асинхронний, текстовий, без явного «підтвердження». Якщо в бекенді виникне вразливість або його підроблять, система може автоматично переказати кошти, і користувач навіть не помітить.

Вразливі точки, що викрила інцидент Polycule

З урахуванням функціоналу Polycule, викрадення і потенційні ризики можуть зосередитися в таких напрямках:

Вразливість експорту приватних ключів

Меню /wallet дозволяє експортувати приватний ключ у будь-який момент, що свідчить про збереження зворотних ключів (а не хешів). При наявності SQL-ін’єкцій, неавторизованих API або витоку логів зловмисники можуть викликати функцію експорту і масово витягати приватні ключі — що і сталося у масштабній крадіжці.

Можливість SSRF-атак через парсинг URL

Polycule заохочує користувачів вставляти посилання Polymarket для швидкого отримання інформації. Але якщо валідація URL слабка, зловмисник може підробити посилання, що ведуть до внутрішніх сервісів або метаданих у хмарі. Бекенд при обробці таких посилань може «злитися» внутрішні IP, кредити баз даних або ключі AWS.

Ризики прослуховування Copy Trading

Функція копіювання торгівлі вимагає реального часу слідкування за операціями цільового гаманця. Якщо ці події можна підробити або відсутня безпечна фільтрація, користувачі можуть бути введені у оману і взаємодіяти з шкідливими контрактами, що призведе до блокування або втрати коштів.

Мульти-ризики міжланцюгових автоматичних обмінів

Автоматичний обмін 2% SOL у POL через орекль, контроль проскальзування, виклики оракулів і права виконання — усе це вимагає точних параметрів. Недбалість у їх налаштуванні може дозволити хакерам збільшити втрати при мостах, перенаправити Gas або підробити підтвердження від deBridge, створюючи фальшиві поповнення або дублікати.

Як проектам і користувачам діяти

Рекомендації для команд проектів

• Перед відновленням роботи опублікувати детальний технічний аналіз, вказати точні місця атаки
• Провести сторонній аудит безпеки щодо зберігання ключів, ізоляції прав і валідації даних
• Переглянути контроль доступу до серверів, процеси релізу коду і стандарти операцій
• Ввести двоетапне підтвердження або ліміти для важливих операцій (експорт ключів, великі перекази)
• Створити прозору систему моніторингу безпеки і реагування на інциденти, регулярно інформувати користувачів

Рекомендації для кінцевих користувачів

• Не зберігайте великі суми у бот-гаманцях, встановіть ліміт на позиції
• Регулярно знімайте прибутки, не залишайте їх у боті для реінвестування
• Увімкніть двофакторну автентифікацію в Telegram і додаткові заходи безпеки
• Використовуйте різні облікові записи Telegram на різних пристроях, щоб уникнути єдиної точки відмови
• Перш ніж довіряти проекту і чекати повного аналізу безпеки, краще почекати і не додавати кошти в поспіху

Майбутнє прогнозних ринків і Telegram-ботів

Telegram-боти для торгівлі залишатимуться популярним входом у прогнозні ринки і Meme-криптовалюти в короткостроковій перспективі, оскільки їх зручність важко переоцінити. Але цей сегмент також залишатиметься полем для полювання зловмисників — поки приватні ключі централізовано зберігаються, ризики зберігатимуться.

Ключовим є ставлення проектів. Безпека не має бути післяінцидентною — її потрібно закладати з перших днів розробки. Впровадження локального підпису, MPC-гаманців або апаратних кошельків — цілком реальні напрямки. Також важливо бути прозорими щодо безпеки і будувати довіру, що стане важливим фактором конкуренції.

Цей інцидент з Polycule фактично нагадує всій індустрії: коли ми користуємося зручністю чат-гарячих клавіш, ми платимо ціну за централізацію ризиків.