Autor: ExVul Security, Web3-Sicherheitsunternehmen
一、Ereigniszusammenfassung
Am 13. Januar 2026 bestätigte Polycule offiziell, dass ihr Telegram-Handelsbot Opfer eines Hackerangriffs wurde, bei dem etwa 230.000 US-Dollar an Nutzerfonds gestohlen wurden. Das Team aktualisierte schnell auf X: Der Bot wurde sofort offline genommen, Patches wurden zügig vorangetrieben, und es wurde versprochen, betroffene Nutzer auf Polygon-Seite zu entschädigen. Mehrere Mitteilungen seit gestern bis heute haben die Sicherheitsdiskussion im Bereich der Telegram-Handelsbots weiter angeheizt.
二、Wie Polycule funktioniert
Polycule hat eine klare Positionierung: Nutzer können auf Telegram Marktdurchsichten, Positionsverwaltung und Kapitalsteuerung auf Polymarket durchführen. Die Hauptmodule umfassen:
Kontoeröffnung und Dashboard: /start weist automatisch eine Polygon-Wallet zu und zeigt das Guthaben an, /home, /help bieten Zugänge und Befehlsbeschreibungen.
Marktdaten und Handel: /trending, /search, direkte Einfügung der Polymarket-URL rufen Marktdetails ab; der Bot bietet Market- und Limit-Orders, Auftragsstornierungen und Chart-Ansichten.
Wallet und Kapital: /wallet ermöglicht Kontostandsanzeige, Abhebungen, POL/USDC Tausch, Export des Private Keys; /fund führt in den Einzahlungsprozess ein.
Cross-Chain-Brücke: Tief integriert deBridge, hilft Nutzern, Assets von Solana zu bridgen, und zieht standardmäßig 2% SOL ab, um in POL für Gas umzutauschen.
Erweiterte Funktionen: /copytrade öffnet die Kopierhandels-Ansicht, ermöglicht das Folgen per Prozentsatz, Fixbetrag oder benutzerdefinierte Regeln, sowie Pausieren, Reverse-Follow, Strategien teilen und weitere Erweiterungen.
Der Polycule Trading Bot kommuniziert mit Nutzern, interpretiert Befehle, verwaltet im Hintergrund Schlüssel, signiert Transaktionen und überwacht kontinuierlich Chain-Events.
Nach Eingabe von /start generiert der Backend automatisch eine Polygon-Wallet und verwahrt den Private Key. Danach können Nutzer weitere Befehle wie /buy, /sell, /positions senden, um Kontostände zu prüfen, Orders zu platzieren und Positionen zu verwalten. Der Bot kann auch Polymarket-Weblinks analysieren und direkt den Handelszugang zurückgeben. Für Cross-Chain-Transfers nutzt er deBridge, unterstützt das Bridgen von SOL auf Polygon und zieht standardmäßig 2% SOL ab, um in POL für zukünftige Gaszahlungen zu tauschen. Fortgeschrittene Funktionen wie Copy Trading, Limit-Orders und automatische Überwachung von Ziel-Wallets erfordern einen dauerhaft online laufenden Server, der Transaktionen im Namen der Nutzer signiert.
三、Gemeinsame Risiken bei Telegram-Handelsbots
Hinter der bequemen chatbasierten Interaktion verbergen sich einige schwer vermeidbare Sicherheitsmängel:
Erstens speichern fast alle Bots die Private Keys der Nutzer auf ihren Servern, Transaktionen werden im Hintergrund im Auftrag signiert. Das bedeutet, bei einem Server-Hack oder unvorsichtiger Datenfreigabe könnten Angreifer Massen-Exporte der Private Keys durchführen und alle Nutzerfonds auf einmal stehlen. Zweitens basiert die Authentifizierung auf dem Telegram-Konto selbst. Bei SIM-Karten-Übernahme oder Geräteverlust können Angreifer das Bot-Konto kontrollieren, ohne die Mnemonik zu kennen. Drittens gibt es keinen lokalen Pop-up-Confirm – während bei traditionellen Wallets jede Transaktion eine manuelle Bestätigung erfordert, kann bei Bots eine Sicherheitslücke im Backend dazu führen, dass Geld automatisch ohne Wissen des Nutzers transferiert wird.
四、Spezifische Angriffspunkte, die in der Polycule-Dokumentation sichtbar werden
In Kombination mit den Dokumenteninhalten lässt sich vermuten, dass die aktuellen und zukünftigen Risiken vor allem in folgenden Bereichen liegen:
Private-Key-Export-Interface: /wallet erlaubt Nutzern, Private Keys zu exportieren, was darauf hindeutet, dass das Backend reversibel verschlüsselte Schlüssel speichert. Bei SQL-Injection, unautorisierten Schnittstellen oder Log-Leaks könnten Angreifer die Exportfunktion direkt ausnutzen, was den aktuellen Diebstahl-Szenarien sehr ähnlich ist.
URL-Parsing könnte SSRF auslösen: Der Bot fordert Nutzer auf, Polymarket-Links zu schicken, um Marktdaten zu erhalten. Wenn die Eingaben nicht streng validiert werden, könnten Angreifer Links fälschen, die auf interne Netzwerke oder Cloud-Metadaten zeigen, um das Backend in eine Falle zu locken und so Zugangsdaten oder Konfigurationen zu stehlen.
Copy Trading Überwachungslogik: Das Kopieren von Trades bedeutet, dass der Bot Ziel-Wallets verfolgt und Aktionen synchronisiert. Wenn die Überwachung durch gefälschte Events manipuliert werden kann oder das System keine sicheren Filter für Ziel-Transaktionen hat, könnten Nutzer auf bösartige Smart Contracts gelenkt werden, was zu Geldauslockung oder direktem Diebstahl führt.
Cross-Chain und automatische Token-Konvertierung: Der automatische Tausch von 2% SOL in POL hängt von Wechselkursen, Slippage, Oracles und Ausführungsrechten ab. Wenn die Validierung dieser Parameter unzureichend ist, könnten Hacker bei der Brücke größere Verluste verursachen oder Gas-Budgets umleiten. Zudem besteht bei unzureichender Prüfung der deBridge-Quittungen das Risiko von Fake-Deposits oder doppelten Buchungen.
五、Hinweise für Projektteams und Nutzer
Was das Projektteam tun kann: Vor der Wiederaufnahme des Dienstes sollte eine vollständige, transparente technische Nachbetrachtung erfolgen; eine spezielle Prüfung der Schlüsselverwaltung, Zugriffsrechte und Input-Validierung; Überarbeitung der Serverzugriffssteuerung und des Release-Prozesses; sowie die Einführung von Zweitbestätigungen oder Limits bei kritischen Aktionen, um weiteren Schaden zu minimieren.
Nutzer sollten: Das Kapital, das im Bot gehalten wird, kontrollieren, Gewinne rechtzeitig abziehen und möglichst Zwei-Faktor-Authentifizierung sowie Geräte-Management aktivieren. Solange das Projekt keine klare Sicherheitszusage gibt, ist es ratsam, abzuwarten und keine zusätzlichen Einlagen zu tätigen.
六、Nachwort
Der Vorfall bei Polycule macht erneut deutlich: Wenn das Handelserlebnis auf einen Chat-Befehl reduziert wird, müssen Sicherheitsmaßnahmen parallel mitwachsen. Telegram-Handelsbots bleiben kurzfristig eine beliebte Schnittstelle für Markt- und Meme-Coin-Trades, doch dieser Bereich wird auch weiterhin Ziel von Angreifern sein. Wir empfehlen den Projekten, Sicherheitsaspekte als integralen Bestandteil des Produkts zu betrachten und Fortschritte offen zu kommunizieren; Nutzer sollten wachsam bleiben und Chat-Shortcuts nicht als risikofreie Asset-Manager ansehen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Ein CEX hat in diesem Jahr einen Rückgang der Marktkapitalisierung von über 50 % und hat 30 % entlassen; es wird darüber nachgedacht, ein Gründerdarlehen in Eigenkapital umzuwandeln.
Ein Krypto-Börsenbetreiber, dessen Marktkapitalisierung um über 50% geschrumpft ist, hat 30% Stellen abgebaut und erwägt, den Antrag zu unterstützen, dass die Gründer Forderungen an eine Schuldenerlassung über mehrere Hundert Millionen Dollar in Betracht ziehen. Im vergangenen Jahr machte das Unternehmen einen Verlust von 585 Millionen US-Dollar und plant, mehrere Märkte zu verlassen, während mehrere Führungskräfte ausgeschieden sind. Die Winklevoss-Brüder haben sich bislang nicht dazu geäußert, ob sie diesen Vorschlag unterstützen.
GateNews42M her
Phantom Wallet stürzt großflächig ab! Während der Airdrop-Phase kommt es zu Kursverwerfungen, das Guthaben wird auf null gesetzt, Nutzer schimpfen über „Entschädigung“
Der Phantom-Wallet für die Solana-Ökologie kam es während der Airdrop-Phase zu einem Dienstunterbruch, der dazu führte, dass der Token-Preis und die Kontostände ungewöhnlich angezeigt wurden, was die Transaktionen der Nutzer beeinträchtigte. Einige Nutzer erlitten dadurch Verluste und fordern eine Entschädigung. Sicherheitsexperten warnen vor dem Risiko von Phishing-Angriffen und empfehlen Nutzern, die On-Chain-Daten zu verifizieren. Obwohl das Problem behoben ist, muss die Vertrauenskrise weiter beobachtet werden. Dieses Ereignis verdeutlicht die Herausforderungen selbstverwalteter Wallets in Bezug auf Systemstabilität und Nutzererlebnis.
区块客14Std her
Ein CEX bietet Mitarbeiter in den Vereinigten Arabischen Emiraten vorübergehende Umzugsoptionen an, um auf regionale Konflikte zu reagieren
Aufgrund des Iran-Konflikts bietet ein bestimmtes CEX etwa 1.000 Mitarbeitern aus den Vereinigten Arabischen Emiraten vorübergehende Verlegungsoptionen an, unter anderem nach Hongkong. Die Geschäfte in den Vereinigten Arabischen Emiraten laufen normal, und der globale User-Support ist nicht betroffen. Die Maßnahme soll die Störungen durch regionale Konflikte für Krypto-Aktivitäten abfedern.
GateNews14Std her
Die Jiangsu-Aufsichtsbehörde für Wertpapiere warnt vor einer „Scheinhubbörse“ in Hongkong: falsche Notierungen, und mahnt zur Vorsicht bei illegaler Kapitalaufnahme durch Originalaktien (Pre-IPO Shares)
Gate News Meldungen, am 10. April, veröffentlichte die Jiangsu-Behörde für Regulierung der Wertpapiergeschäfte eine Risikowarnung. In letzter Zeit nutzen unlautere Vermittler die Schlagzeile „beim Börsenplatz in Hongkong ‚Glocke läuten‘“ gegen eine Gebühr, um Schein-Dienstleistungen anzubieten, darunter gefälschte Börsenwertpapier-Codes, Website-Veröffentlichungen usw. Die betreffenden Plattformen sind häufig „Pseudo-Börsen“ und verpacken die angebliche Notierung durch das Fälschen von Ritualen als scheinbar echtes Listing. Einige Unternehmen nutzen diese Gelegenheit, um der Öffentlichkeit Anteile und Vorzugsaktien (Originalaktien) anzudrehen; dabei besteht der Verdacht auf illegale Mittelbeschaffung. Die Aufsichtsbehörden erinnern Anleger daran: Sie sollten die Qualifikation der Institutionen über die offizielle Website der Wertpapier- und Futureskommission von Hongkong verifizieren, vor Werbeaussagen mit garantierter Rendite und hohen Erträgen aufpassen, keine Überweisungen an Privatkonten oder auf nicht-offiziellen Plattformen leisten und bei Hinweisen umgehend melden und Anzeige erstatten.
GateNews15Std her
Stabble fordert Nutzer auf, nach angeblichen Verbindungen zu einem nordkoreanischen Hacker Liquidität abzuziehen
Stabble, eine dezentrale Börse auf Solana, beriet Nutzer, Liquidität abzuziehen, nachdem ein ehemaliger Geschäftsführer mit angeblichen nordkoreanischen Hackerangriffen in Verbindung gebracht wurde, was dazu führte, dass sein gesamtes Total Value Locked (TVL) um 62% gefallen ist. Dieser Vorfall hob die Bedeutung von Vertrauen in das Personal bei dezentralen Plattformen hervor.
CryptoNewsFlash23Std her
Gate-Tagesbericht (10. April): US-Finanzminister unterstützt den Einreichungsprozess des „CLARITY-Gesetzes“ für Trump; WLFI-Kreditaufnahme in Höhe von 75 Mio. stabilen Coins löst Panik aus
Bitcoin stieg kurzfristig auf 71.830 US-Dollar und fiel dann zurück. Der US-Finanzminister Bessent treibt das „CLARITY-Gesetz“ voran und steht dabei vor Herausforderungen, die sich auf die Gesetzgebung für Stablecoins auswirken könnten. WLFI vergab ein Darlehen über 75 Millionen US-Dollar in Stablecoins, was ein Liquidationsrisiko auslöst. Die Stimmung am Markt ist optimistisch, da die Erwartungen an Friedensverhandlungen steigen, aber die Liquidität der Mittel muss noch verbessert werden.
MarketWhisper04-10 01:37
