Autor: ExVul Security, Web3-Sicherheitsunternehmen
一、Ereigniszusammenfassung
Am 13. Januar 2026 bestätigte Polycule offiziell, dass ihr Telegram-Handelsbot Opfer eines Hackerangriffs wurde, bei dem etwa 230.000 US-Dollar an Nutzerfonds gestohlen wurden. Das Team aktualisierte schnell auf X: Der Bot wurde sofort offline genommen, Patches wurden zügig vorangetrieben, und es wurde versprochen, betroffene Nutzer auf Polygon-Seite zu entschädigen. Mehrere Mitteilungen seit gestern bis heute haben die Sicherheitsdiskussion im Bereich der Telegram-Handelsbots weiter angeheizt.
二、Wie Polycule funktioniert
Polycule hat eine klare Positionierung: Nutzer können auf Telegram Marktdurchsichten, Positionsverwaltung und Kapitalsteuerung auf Polymarket durchführen. Die Hauptmodule umfassen:
Kontoeröffnung und Dashboard: /start weist automatisch eine Polygon-Wallet zu und zeigt das Guthaben an, /home, /help bieten Zugänge und Befehlsbeschreibungen.
Marktdaten und Handel: /trending, /search, direkte Einfügung der Polymarket-URL rufen Marktdetails ab; der Bot bietet Market- und Limit-Orders, Auftragsstornierungen und Chart-Ansichten.
Wallet und Kapital: /wallet ermöglicht Kontostandsanzeige, Abhebungen, POL/USDC Tausch, Export des Private Keys; /fund führt in den Einzahlungsprozess ein.
Cross-Chain-Brücke: Tief integriert deBridge, hilft Nutzern, Assets von Solana zu bridgen, und zieht standardmäßig 2% SOL ab, um in POL für Gas umzutauschen.
Erweiterte Funktionen: /copytrade öffnet die Kopierhandels-Ansicht, ermöglicht das Folgen per Prozentsatz, Fixbetrag oder benutzerdefinierte Regeln, sowie Pausieren, Reverse-Follow, Strategien teilen und weitere Erweiterungen.
Der Polycule Trading Bot kommuniziert mit Nutzern, interpretiert Befehle, verwaltet im Hintergrund Schlüssel, signiert Transaktionen und überwacht kontinuierlich Chain-Events.
Nach Eingabe von /start generiert der Backend automatisch eine Polygon-Wallet und verwahrt den Private Key. Danach können Nutzer weitere Befehle wie /buy, /sell, /positions senden, um Kontostände zu prüfen, Orders zu platzieren und Positionen zu verwalten. Der Bot kann auch Polymarket-Weblinks analysieren und direkt den Handelszugang zurückgeben. Für Cross-Chain-Transfers nutzt er deBridge, unterstützt das Bridgen von SOL auf Polygon und zieht standardmäßig 2% SOL ab, um in POL für zukünftige Gaszahlungen zu tauschen. Fortgeschrittene Funktionen wie Copy Trading, Limit-Orders und automatische Überwachung von Ziel-Wallets erfordern einen dauerhaft online laufenden Server, der Transaktionen im Namen der Nutzer signiert.
三、Gemeinsame Risiken bei Telegram-Handelsbots
Hinter der bequemen chatbasierten Interaktion verbergen sich einige schwer vermeidbare Sicherheitsmängel:
Erstens speichern fast alle Bots die Private Keys der Nutzer auf ihren Servern, Transaktionen werden im Hintergrund im Auftrag signiert. Das bedeutet, bei einem Server-Hack oder unvorsichtiger Datenfreigabe könnten Angreifer Massen-Exporte der Private Keys durchführen und alle Nutzerfonds auf einmal stehlen. Zweitens basiert die Authentifizierung auf dem Telegram-Konto selbst. Bei SIM-Karten-Übernahme oder Geräteverlust können Angreifer das Bot-Konto kontrollieren, ohne die Mnemonik zu kennen. Drittens gibt es keinen lokalen Pop-up-Confirm – während bei traditionellen Wallets jede Transaktion eine manuelle Bestätigung erfordert, kann bei Bots eine Sicherheitslücke im Backend dazu führen, dass Geld automatisch ohne Wissen des Nutzers transferiert wird.
四、Spezifische Angriffspunkte, die in der Polycule-Dokumentation sichtbar werden
In Kombination mit den Dokumenteninhalten lässt sich vermuten, dass die aktuellen und zukünftigen Risiken vor allem in folgenden Bereichen liegen:
Private-Key-Export-Interface: /wallet erlaubt Nutzern, Private Keys zu exportieren, was darauf hindeutet, dass das Backend reversibel verschlüsselte Schlüssel speichert. Bei SQL-Injection, unautorisierten Schnittstellen oder Log-Leaks könnten Angreifer die Exportfunktion direkt ausnutzen, was den aktuellen Diebstahl-Szenarien sehr ähnlich ist.
URL-Parsing könnte SSRF auslösen: Der Bot fordert Nutzer auf, Polymarket-Links zu schicken, um Marktdaten zu erhalten. Wenn die Eingaben nicht streng validiert werden, könnten Angreifer Links fälschen, die auf interne Netzwerke oder Cloud-Metadaten zeigen, um das Backend in eine Falle zu locken und so Zugangsdaten oder Konfigurationen zu stehlen.
Copy Trading Überwachungslogik: Das Kopieren von Trades bedeutet, dass der Bot Ziel-Wallets verfolgt und Aktionen synchronisiert. Wenn die Überwachung durch gefälschte Events manipuliert werden kann oder das System keine sicheren Filter für Ziel-Transaktionen hat, könnten Nutzer auf bösartige Smart Contracts gelenkt werden, was zu Geldauslockung oder direktem Diebstahl führt.
Cross-Chain und automatische Token-Konvertierung: Der automatische Tausch von 2% SOL in POL hängt von Wechselkursen, Slippage, Oracles und Ausführungsrechten ab. Wenn die Validierung dieser Parameter unzureichend ist, könnten Hacker bei der Brücke größere Verluste verursachen oder Gas-Budgets umleiten. Zudem besteht bei unzureichender Prüfung der deBridge-Quittungen das Risiko von Fake-Deposits oder doppelten Buchungen.
五、Hinweise für Projektteams und Nutzer
Was das Projektteam tun kann: Vor der Wiederaufnahme des Dienstes sollte eine vollständige, transparente technische Nachbetrachtung erfolgen; eine spezielle Prüfung der Schlüsselverwaltung, Zugriffsrechte und Input-Validierung; Überarbeitung der Serverzugriffssteuerung und des Release-Prozesses; sowie die Einführung von Zweitbestätigungen oder Limits bei kritischen Aktionen, um weiteren Schaden zu minimieren.
Nutzer sollten: Das Kapital, das im Bot gehalten wird, kontrollieren, Gewinne rechtzeitig abziehen und möglichst Zwei-Faktor-Authentifizierung sowie Geräte-Management aktivieren. Solange das Projekt keine klare Sicherheitszusage gibt, ist es ratsam, abzuwarten und keine zusätzlichen Einlagen zu tätigen.
六、Nachwort
Der Vorfall bei Polycule macht erneut deutlich: Wenn das Handelserlebnis auf einen Chat-Befehl reduziert wird, müssen Sicherheitsmaßnahmen parallel mitwachsen. Telegram-Handelsbots bleiben kurzfristig eine beliebte Schnittstelle für Markt- und Meme-Coin-Trades, doch dieser Bereich wird auch weiterhin Ziel von Angreifern sein. Wir empfehlen den Projekten, Sicherheitsaspekte als integralen Bestandteil des Produkts zu betrachten und Fortschritte offen zu kommunizieren; Nutzer sollten wachsam bleiben und Chat-Shortcuts nicht als risikofreie Asset-Manager ansehen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Umgeht es eine Möglichkeit, die Vorschriften der FSA zu umgehen, wenn man mit Kreditkarte Kryptowährungen kauft? Odin nutzt den Wallet-Pro-Service zum Kauf von Kryptowährungen mit einer US-Kreditkarte, die für Signaturen geeignet ist.
Die von OdinTing eingeführten Dienstleistungen OwlPay und Wallet Pro nutzen die Stablecoin-Technologie, um B2B- grenzüberschreitende Zahlungen zu ermöglichen, und arbeiten mit internationalen Zahlungsriesen zusammen, um ihre Expansionsambitionen im Bereich der Finanztechnologie zu demonstrieren. Durch Auslandsoperationen umgeht OdinTing die regulatorischen Beschränkungen in Taiwan und bietet einen schnellen Handel mit virtuellen Vermögenswerten an; gleichzeitig steht das Unternehmen vor dem neu erlassenen Gesetz über Dienstleistungen für virtuelle Vermögenswerte. In Zukunft wird es für andere ausländische Unternehmen, die in den taiwanesischen Markt eintreten wollen, als Referenzvorlage dienen.
CryptoCity1Std her
Fake Ledger-App im Apple App Store entzieht dem Ruhestandsfonds eines Musikers 5,9 BTC
Eine gefälschte Ledger-App im App Store von Apple hat den Musiker Garrett Dutton getäuscht und dazu gebracht, 5.9 BTC zu verlieren, indem sie seine Seed-Phrase eingab. Dieser Fall verdeutlicht anhaltende Wallet-Betrügereien und die Ausnutzung von Vertrauen, da das gestohlene Bitcoin über KuCoin gewaschen wurde.
CryptoNewsFlash13Std her
Kann man den Vorschriften der Finanzaufsichtsbehörde (FSC) umgehen, indem man per Kreditkarte Krypto kauft? Oding Ding bietet einen Service zum Kauf von Krypto mit der US-Kreditkarte Wallet Pro an
Odinge推出 OwlPay- und Wallet Pro-Dienste, mit Fokus auf grenzüberschreitende B2B-Zahlungen, kombiniert mit Stablecoin-Technologie und internationalen Finanzsystemen, und zeigt so ihren Wandel in Richtung FinTech. Durch die Zusammenarbeit mit MoneyGram ermöglicht Wallet Pro internationale Überweisungen für den bargeldbasierten Kauf von Stablecoins und operiert dabei im US-Markt. Das Offshore-Modell des Unternehmens umgeht die strengen Regulierungen in Taiwan und stellt unter dem neuen Gesetzesentwurf die Wettbewerbslage in Frage; in Zukunft wird es die Compliance-Strategien lokaler Anbieter beeinflussen.
CryptoCity14Std her
Musikstar G. Love verliert 5,9 Bitcoin in einem schockierenden App-Store-Betrug
_Der Musiker G. Love verliert 5,9 BTC in einem Fake-Ledger-App-Betrug und wirft ernsthafte Bedenken hinsichtlich der Krypto-Sicherheit und des Problembewusstseins der Nutzer weltweit auf._
Ein großer Krypto-Betrug hat Garrett Dutton betroffen, der weithin als G. Love bekannt ist. Der amerikanische Sänger verlor 5,9 Bitcoin im Wert von fast 420.000. Der Verlust ereignete sich, als er t
LiveBTCNews19Std her
Aave gerät in eine Vertrauenskrise: Dienstanbieter verlassen kollektiv den Dienst, „Technologie, Governance und Risikokontrolle“ geraten vollständig außer Kontrolle
Autor: Jae, PANews
Im Vergleich zum externen Druck eines Bärenmarkts zeigt sich bei Aave intern zunächst eine „Black Swan“-Situation.
Aave, das seit langem den Thron der Kredit- und Ausleihprotokolle besetzt, sieht sich mit der heftigsten ökologischen Erschütterung seit seiner Gründung konfrontiert. Keine Hackerangriffe, keine Code-Lücken, sondern nur ein außer Kontrolle geratener Machtkampf und zerstrittene Interessen.
Vom entschlossenen Weggang des technischen Rückgrats BGD Labs über die öffentliche Trennung der Governance-Vorreiter ACI (Aave Chan Initiative) bis hin zur offiziellen Bekanntgabe des Risikowächters Chaos Labs über das Ende der Zusammenarbeit: Ein „großer Rückzug“ der Dienstanbieter spielt sich gerade ab.
Die Tiefe dieses Machtspiels geht weit über einen Streit zwischen Kooperationspartnern hinaus, es löst aus, dass
区块客20Std her
Kann man die Vorschriften der Finanzaufsicht (FSC) umgehen und trotzdem mit Kreditkarte Krypto kaufen? Oding Ding bietet einen Krypto-Kaufservice mit der US-Kreditkarte Wallet Pro an
OdinTin bringt die Services OwlPay und Wallet Pro an den Markt, mit Fokus auf B2B-Grenzüberschreitungszahlungen. Dabei kombiniert es Stabilcoin-Technologie mit internationalen Finanzsystemen und zeigt seinen Wandel hin zu Financial Technology. Durch die Zusammenarbeit mit MoneyGram ermöglicht Wallet Pro länderübergreifende Überweisungen für den Bargeldkauf von Stablecoins und ist zugleich im US-Markt im Einsatz. Das Offshore-Modell des Unternehmens umgeht die strengen Regulierungsvorgaben in Taiwan und stellt unter dem neuen Gesetzentwurf die bestehende Wettbewerbslandschaft infrage. Zukünftig wird dies die Compliance-Strategien lokaler Anbieter beeinflussen.
CryptoCity20Std her
