Vụ trộm Polycule bị phơi bày: Tại sao robot giao dịch Telegram trở thành sân săn của hacker

Dự đoán thị trường đang đón nhận làn sóng bùng nổ của các bot giao dịch Telegram, nhưng đằng sau cơn sốt này chính là một mảnh đất mới đầy rẫy các hacker đang ráo riết săn đuổi.

Vụ trộm đột ngột 23 triệu USD

Ngày 13 tháng 1, công cụ tương tác dự đoán thị trường nổi tiếng Polycule chính thức công bố một sự cố an ninh nghiêm trọng: bot giao dịch Telegram của họ bị hacker xâm nhập, khoảng 23 triệu USD vốn của người dùng bị đánh cắp trong chớp mắt. Nhóm phát triển phản ứng khẩn cấp, bot ngay lập tức ngưng hoạt động và cam kết bồi thường cho các người dùng bị ảnh hưởng trên mạng lưới Polygon. Sự kiện này một lần nữa cảnh báo chúng ta — khi trải nghiệm giao dịch được cô đặc trong một tin nhắn Telegram, thì hàng rào an ninh mong manh đến mức nào?

Polycule hoạt động như thế nào: Tiện lợi đổi lấy cái giá

Điểm hấp dẫn cốt lõi của Polycule rất đơn giản: người dùng không cần rời khỏi Telegram vẫn có thể duyệt thị trường, quản lý vị thế, điều phối vốn trên Polymarket. Trải nghiệm có vẻ liền mạch, thực chất dựa trên một hệ thống phức tạp phía sau.

Khi người dùng nhập /start, hệ thống sẽ tự động tạo ra một ví Polygon và giữ khóa riêng của nó — đây là một lựa chọn thiết kế cực kỳ quan trọng. Sau đó, người dùng có thể thực hiện các giao dịch qua các lệnh: /trending để xem thị trường hot, /search để tìm dự đoán cụ thể, dán trực tiếp liên kết Polymarket để lấy thông tin, thậm chí có thể dùng /buy, /sell để đặt lệnh trực tiếp.

Các tính năng nổi bật của Polycule bao gồm:

• Quản lý ví: menu /wallet hỗ trợ xem tài sản, rút tiền, hoán đổi POL/USDC, thậm chí xuất khóa riêng
• Cầu nối chuỗi chéo: tích hợp sâu với giao thức deBridge, người dùng có thể chuyển tài sản từ Solana, hệ thống tự động trừ 2% SOL và đổi thành POL để trả phí Gas
• Copy Trading: đây là chức năng cao cấp nhất — người dùng có thể theo dõi các hoạt động của ví khác theo tỷ lệ phần trăm, số cố định hoặc quy tắc tùy chỉnh, thậm chí hỗ trợ theo dõi ngược và chia sẻ chiến lược

Tất cả đều do máy chủ trung tâm của Polycule ký thay, lắng nghe các sự kiện trên chuỗi, quản lý khóa liên tục. Tiện lợi đi kèm với rủi ro tập trung.

Lỗ hổng hệ thống trong chế độ chatbot

Lý do các bot giao dịch Telegram dễ trở thành mục tiêu tấn công, về cơ bản, là do mô hình này tồn tại ba vấn đề cấu trúc khó tránh khỏi:

Lớp phòng thủ thứ nhất thất bại: Lưu trữ khóa riêng tập trung

Hầu hết các bot giao dịch Telegram đều lưu trữ khóa riêng của người dùng trên máy chủ của mình, ký thay cho từng giao dịch. Thiết kế này nâng cao trải nghiệm người dùng (không cần cấp phép thủ công), nhưng đồng thời cũng có nghĩa là: chỉ cần máy chủ bị tấn công, cơ sở dữ liệu bị rò rỉ, hoặc nhân viên vận hành sơ suất để lộ cấu hình, hacker có thể xuất toàn bộ khóa riêng của người dùng hàng loạt, từ đó chuyển khoản hàng triệu USD trong chớp mắt.

Lớp phòng thủ thứ hai thiếu sót: Xác thực đơn giản

Việc xác thực hoàn toàn dựa vào tài khoản Telegram. Nếu người dùng bị chiếm đoạt SIM, mất điện thoại hoặc bị đánh cắp tài khoản, kẻ tấn công không cần biết bất kỳ mnemonic hay mật khẩu nào, chỉ cần kiểm soát tài khoản Telegram là có thể hoàn toàn chiếm quyền ví của bot.

Lớp phòng thủ thứ ba thiếu hụt: Thiếu cơ chế xác nhận của người dùng

Trong ví truyền thống, mỗi giao dịch đều cần người dùng xác nhận trực tiếp trên cửa sổ pop-up — đó là lớp phòng thủ cuối cùng. Nhưng trong chế độ bot, cuộc trò chuyện giữa người dùng và bot là bất đồng bộ, dạng văn bản, không có bước “xác nhận” rõ ràng nào. Một khi logic phía sau bị lỗi hoặc bị sửa đổi, hệ thống có thể tự động chuyển tiền mà người dùng không hề hay biết.

Các điểm tấn công đặc thù của vụ việc Polycule

Kết hợp với thiết kế chức năng của Polycule, vụ trộm này và các rủi ro tiềm ẩn có thể tập trung vào các hướng sau:

Lỗ hổng quyền xuất khóa riêng

Menu /wallet cho phép người dùng xuất khóa riêng bất cứ lúc nào, điều này cho thấy hệ thống lưu trữ khóa có thể đảo ngược (không phải dạng băm một chiều). Nếu có lỗ hổng SQL injection, API không được phép hoặc rò rỉ log, hacker có thể gọi trực tiếp chức năng xuất để lấy toàn bộ khóa riêng — phù hợp với kịch bản bị trộm lớn vừa qua.

Phân tích URL có thể kích hoạt SSRF

Polycule khuyến khích người dùng gửi liên kết Polymarket để nhanh chóng lấy thông tin thị trường, nhưng nếu kiểm tra đầu vào URL không chặt chẽ, hacker có thể giả mạo liên kết trỏ tới nội bộ hoặc metadata của dịch vụ đám mây. Hệ thống backend khi phân tích các liên kết này có thể “dẫm chân”, từ đó tiết lộ IP nội bộ, thông tin xác thực database, khóa AWS và các dữ liệu nhạy cảm khác.

Nguy cơ lắng nghe sự kiện Copy Trading

Chức năng copy trading yêu cầu bot phải theo dõi thời gian thực các hoạt động trên chuỗi của ví mục tiêu. Nếu các sự kiện này có thể bị giả mạo hoặc hệ thống thiếu các biện pháp lọc an toàn, người theo dõi có thể bị dụ dỗ tương tác với hợp đồng độc hại, dẫn đến bị khóa hoặc mất tiền trực tiếp.

Rủi ro liên quan đến chuỗi chéo và tự động hoán đổi

Quy trình tự động đổi 2% SOL thành POL liên quan đến tra cứu tỷ giá, kiểm soát trượt giá, gọi oracle và thực thi quyền. Nếu các tham số này không được kiểm tra chặt chẽ, hacker có thể lợi dụng để phóng đại thiệt hại khi chuyển đổi, chuyển phí Gas hoặc giả mạo xác nhận của deBridge để tạo ra các giao dịch nạp tiền giả hoặc trùng lặp.

Các cách dự phòng cho dự án và người dùng

Đối với nhóm dự án

• Trước khi khôi phục dịch vụ, công bố đầy đủ phân tích kỹ thuật, làm rõ các điểm bị tấn công
• Thực hiện kiểm tra an ninh độc lập về cơ chế lưu trữ khóa, phân quyền, kiểm tra đầu vào
• Rà soát lại kiểm soát truy cập máy chủ, quy trình phát hành mã, quy chuẩn vận hành
• Thêm xác nhận hai bước hoặc giới hạn giao dịch lớn cho các thao tác quan trọng như xuất khóa riêng, chuyển khoản lớn, giảm thiểu rủi ro điểm yếu
• Xây dựng cơ chế giám sát an toàn minh bạch, phản ứng sự cố định kỳ và thông báo cho người dùng

Đối với người dùng cuối

• Không để số tiền lớn trong ví bot quá lâu, đặt giới hạn phù hợp
• Thường xuyên rút lợi nhuận, không để lợi nhuận tích lũy trong bot
• Kích hoạt xác thực hai bước của Telegram và các tùy chọn bảo mật nâng cao
• Quản lý các tài khoản Telegram trên nhiều thiết bị khác nhau để tránh điểm yếu tập trung
• Chờ đợi dự án đưa ra cam kết an toàn rõ ràng và phân tích đầy đủ trước khi quyết định thêm vốn, tránh vội vàng đầu tư lớn

Tương lai của thị trường dự đoán và bot Telegram

Trong ngắn hạn, bot giao dịch Telegram vẫn sẽ là cổng chính cho các dự đoán thị trường và meme coin, vì tính tiện lợi khó có thể cưỡng lại. Nhưng đồng thời, kênh này cũng sẽ tiếp tục là nơi săn mùng của các hacker — miễn là khóa riêng của người dùng vẫn còn tập trung, rủi ro vẫn luôn hiện hữu.

Điều then chốt nằm ở thái độ của dự án. An toàn không nên chỉ là xử lý sau khi xảy ra, mà phải được tích hợp ngay từ ngày đầu thiết kế sản phẩm. Dù là đưa vào ký nội bộ, triển khai ví MPC, hay tích hợp ví phần cứng, đều là các hướng đi khả thi. Đồng thời, minh bạch về tiến trình an ninh và xây dựng lòng tin cũng trở thành yếu tố cạnh tranh quan trọng của thị trường.

Vụ việc của Polycule thực chất là một lời nhắc nhở toàn ngành: khi chúng ta tận hưởng sự tiện lợi của các phím tắt chat, cũng phải trả giá cho rủi ro tập trung hóa.