一、イベント速記

2026年1月13日、Polycule公式はそのTelegram取引ボットがハッキングを受け、約23万ドルのユーザー資金が盗まれたことを確認しました。チームはX上で迅速に更新し、ボットは即座にオフラインとなり、修正パッチが急速に進められ、Polygon側の影響を受けたユーザーには補償が行われると約束しました。昨晩から今日にかけての数回の通知により、Telegram取引ボットのセキュリティに関する議論が盛り上がりを見せています。

二、Polyculeの運用方法

Polyculeの位置付けは非常に明確です：ユーザーがTelegram上でPolymarketの市場閲覧、ポジション管理、資金調達を完了できるようにすることです。主なモジュールは以下の通りです：

口座開設とパネル： `/start` は自動的にPolygonウォレットを割り当て、残高を表示します。`/home`、`/help` は入口と指示の説明を提供します。

市場と取引： `/trending`、`/search`、直接PolymarketのURLを貼り付けることで市場の詳細を取得できます；ボットは市場価格/指値注文、注文キャンセル、チャート表示を提供します。

ウォレットと資金： `/wallet` は資産の確認、資金の引き出し、POL/USDCの交換、秘密鍵のエクスポートをサポートします；`/fund` は入金プロセスを案内します。

クロスチェーンブリッジ： 深く統合されたdeBridgeは、ユーザーがSolanaから資産をブリッジするのを助け、デフォルトで2%のSOLをPOLに交換してGasに使用します。

高度な機能： `/copytrade` はコピー取引インターフェースを開き、パーセンテージ、固定額、またはカスタムルールに従ってフォローできます。また、一時停止、逆フォロー、戦略共有などの拡張機能も設定できます。

Polycule Trading Botはユーザーとの対話、指示の解析を担当し、バックエンドでキーの管理、取引の署名、チェーン上のイベントの監視を継続します。

ユーザーが`/start`を入力すると、バックエンドは自動的にPolygonウォレットを生成し、秘密鍵を保管します。その後、`/buy`、`/sell`、`/positions`などのコマンドを送信して、取引の確認、注文、ポジション管理などの操作を完了できます。ボットはPolymarketのウェブリンクを解析し、直接取引の入口を返します。クロスチェーン資金はdeBridgeを介して接続され、SOLをPolygonにブリッジし、デフォルトで2%のSOLをPOLに交換してGasの支払いに使用します。さらに高度な機能にはコピー取引、指値注文、目標ウォレットの自動監視などが含まれ、サーバーが長時間オンラインであり、取引の代署名を継続する必要があります。

三、Telegram取引ボットの共通リスク

便利なチャット式インタラクションの背後には、いくつかの回避が難しいセキュリティの短所があります：

まず、ほぼすべてのボットはユーザーの秘密鍵を自分のサーバーに保存し、取引はバックエンドで直接代署名されます。これは、サーバーが侵害されたり、運用ミスでデータが漏洩した場合、攻撃者が秘密鍵を一括でエクスポートし、すべてのユーザーの資金を一度に持ち去ることができることを意味します。次に、認証はTelegramアカウント自体に依存しており、ユーザーがSIMカードのハイジャックやデバイスの紛失に遭遇した場合、攻撃者はリカバリーフレーズを知らなくてもボットアカウントを制御できます。最後に、ローカルのポップアップ確認がないことです------従来のウォレットでは、各取引はユーザーが自ら確認する必要がありますが、ボットモードではバックエンドのロジックに誤りがあれば、システムはユーザーが気づかないうちに自動的に資金を転送する可能性があります。

四、Polycule文書が示す特有の攻撃面

文書の内容を考慮すると、今回の事件と将来の潜在的リスクは主に以下の点に集中していると推測されます：

秘密鍵エクスポートインターフェース ：`/wallet`メニューはユーザーに秘密鍵のエクスポートを許可しており、バックエンドが可逆的な鍵データを保存していることを示しています。SQLインジェクション、未承認のインターフェース、またはログ漏洩が存在する場合、攻撃者は直接エクスポート機能を呼び出すことができ、シナリオは今回の盗難と高度に一致します。

URL解析がSSRFを引き起こす可能性 ：ボットはユーザーにPolymarketのリンクを提出して市場情報を取得することを奨励します。入力が厳密に検証されていない場合、攻撃者は内部ネットワークやクラウドサービスのメタデータを指すリンクを偽造し、バックエンドを「踏ませ」、さらなる証明書や設定を盗むことができます。

コピー取引のリスニングロジック ：コピー取引はボットがターゲットウォレットの操作を同期することを意味します。リスニングしているイベントが偽造可能であったり、システムがターゲット取引に対するセキュリティフィルタリングを欠いている場合、フォローユーザーは悪意のある契約に引き込まれ、資金がロックされたり、直接引き去られる可能性があります。

クロスチェーンと自動換金のプロセス ：自動的に2%のSOLをPOLに交換するプロセスは、為替レート、スリッページ、オラクル、実行権限を含みます。これらのパラメータの検証が厳密でない場合、ハッカーはブリッジ時に換金損失を拡大したり、Gas予算を移転させる可能性があります。また、deBridgeの受領書の検証が不十分な場合、虚偽の入金や重複入金のリスクも生じます。

五、プロジェクトチームとユーザーへの注意喚起

プロジェクトチームができることには、サービスを復旧する前に完全で透明な技術レビューを提供すること、秘密鍵の保存、権限の隔離、入力検証に関する特別な監査を行うこと、サーバーのアクセス制御とコードのリリースプロセスを再整理すること、重要な操作に二重確認または限度額メカニズムを導入し、さらなる被害を軽減することが含まれます。

エンドユーザーはボット内の資金規模を制御し、利益を迅速に引き出し、Telegramの二要素認証、独立デバイス管理などの防護手段を優先的に有効にすることを検討すべきです。プロジェクト側が明確なセキュリティの約束を示すまで、観察を続け、元本の追加を避けることをお勧めします。

六、後記

Polyculeの事故は、取引体験がチャットコマンドに圧縮されるとき、セキュリティ対策も同時にアップグレードされる必要があることを再認識させます。Telegram取引ボットは短期的には予測市場やMemeコインの人気の入口であり続けるでしょうが、この領域は攻撃者の狩り場としても持続的に存在します。私たちはプロジェクト側にセキュリティの構築を製品の一部として捉え、ユーザーに進捗を公開することをお勧めします；ユーザーも警戒を保ち、チャットのショートカットを無リスクの資産管理者と見なさないようにすべきです。

私たちExVul Securityは、取引ボットとチェーン上のインフラに関する攻防研究に長期的に焦点を当てており、Telegram取引ボットに対するセキュリティ監査、ペネトレーションテスト、緊急対応サービスを提供できます。あなたのプロジェクトが開発中またはローンチ段階にある場合は、いつでもご連絡ください。潜在的なリスクを実行前に排除するために共に取り組みましょう。

私たちについてExVul

ExVulはWeb3セキュリティ会社であり、サービス範囲はスマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3ペネトレーションテスト、安全コンサルティングと計画を含みます。ExVulはWeb3エコシステム全体の安全性を向上させることに努め、常にWeb3セキュリティ研究の最前線に立っています。