一、事件速記

2026 年 1 月 13 日，Polycule 官方確認其 Telegram 交易機器人遭遇黑客攻擊，約 23 萬美元用戶資金被盜。團隊在 X 上快速更新：機器人隨即下線，修復補丁火速推進，並承諾 Polygon 端的受影響用戶將獲賠付。從昨晚到今天的幾輪通告，讓 Telegram 交易機器人賽道的安全討論持續升溫。

二、Polycule 如何運轉

Polycule 的定位很清晰：讓用戶在 Telegram 完成 Polymarket 上的市場瀏覽、倉位管理與資金調度。主要模塊包括：

開戶與面板： `/start` 會自動分配 Polygon 錢包並展示餘額，`/home`、`/help` 提供入口與指令說明。

行情與交易： `/trending`、`/search`、直接粘貼 Polymarket URL 都能拉取市場詳情；機器人提供市價/限價下單、訂單取消與圖表查看。

錢包與資金： `/wallet` 支持查看資產、提取資金、POL/USDC 互換、導出私鑰；`/fund` 指導充值流程。

跨鏈橋接： 深度集成deBridge ，幫助用戶從 Solana 橋入資產，並默認扣取 2% SOL 兌換成 POL 用於 Gas。

高級功能： `/copytrade` 打開複製交易界面，可按百分比、固定額度或自定義規則跟單，還能設置暫停、反向跟單、策略分享等擴展能力。

Polycule Trading Bot 負責與用戶對話、解析指令，也在後台管理密鑰、簽名交易並持續監聽鏈上事件。

用戶輸入 `/start` 後，後台自動生成 Polygon 錢包並保管私鑰，隨後可以繼續發送 `/buy`、`/sell`、`/positions` 等命令完成查盤、下單、管理倉位等操作。機器人還能解析 Polymarket 的網頁鏈接，直接返回交易入口。跨鏈資金則靠接入deBridge ，支持把 SOL 橋接到 Polygon，並且默認抽出 2% SOL 換成 POL 供後續交易支付 Gas。更高級的功能包括 Copy Trading、限價單、自動監控目標錢包等，需要服務端長時間在線並持續代簽交易。

由於黑客攻擊，目前這些功能都已經暫停。

三、Telegram 交易機器人的共性風險

便利的聊天式互動背後，是幾個很難規避的安全短板：

首先，幾乎所有機器人都會把用戶私鑰放在自己的伺服器上，交易由後台直接代簽。這意味著一旦伺服器被攻破或者運維不慎洩露數據，攻擊者就能批量導出私鑰，把所有用戶的資金一次性卷走。其次，認證依賴 Telegram 帳號本身，若用戶遭遇 SIM 卡劫持或設備丟失，攻擊者無需掌握助記詞就能控制機器人帳戶。最後，沒有本地彈窗確認這一步------傳統錢包每筆交易都需要用戶親自確認，而在機器人模式下，只要後台邏輯出了纰漏，系統就可能在用戶毫不知情的情況下自動把錢轉走。

四、Polycule 文檔透露的特有攻面

結合文檔內容，可以推測本次事件和未來潛在風險主要集中在以下幾點：

私鑰導出接口 ：`/wallet` 菜單允許用戶導出私鑰，說明後台保存的是可逆密鑰數據。一旦存在 SQL 注入、未授權接口或日誌洩漏，攻擊者便可直接調用導出功能，場景與此次被盜高度吻合。

URL 解析可能觸發 SSRF ：機器人鼓勵用戶提交 Polymarket 鏈接獲取行情。如果輸入未經嚴密校驗，攻擊者可以偽造指向內網或雲服務元數據的鏈接，讓後台主動"踩坑"，進一步竊取憑證或配置。

Copy Trading 的監聽邏輯：複製交易意味著機器人會跟隨目標錢包同步操作。如果監聽到的事件可以被偽造，或者系統缺乏對目標交易的安全過濾，跟單用戶就有可能被帶入惡意合約，資金被鎖定甚至被直接抽走。

跨鏈與自動換幣環節 ：自動把 2% SOL 換成 POL 的流程涉及匯率、滑點、預言機和執行權限。如果代碼中對這些參數的校驗不嚴密，黑客可能在橋接時放大換匯損失或轉移 Gas 預算。另外，一旦對 deBridge 回執的驗證有所欠缺，也會導致虛假充值或重複入賬的風險。

五、對項目團隊與用戶的提醒

項目團隊可以做的事情 包括：在恢復服務前交付一份完整透明的技術復盤；對密鑰存儲、權限隔離、輸入校驗進行專項審計；重新梳理伺服器訪問控制和代碼發布流程；為關鍵操作引入二次確認或限額機制，降低進一步傷害。

終端用戶則應 考慮控制在機器人中的資金規模，及時把盈利提走，並優先開啟 Telegram 的雙重驗證、獨立設備管理等防護手段。在項目方給出明確的安全承諾之前，不妨先觀望，避免追加本金。

六、後記

Polycule 的事故讓人再次意識到：當交易體驗被壓縮成一句聊天命令時，安全措施也得同步升級。Telegram 交易機器人短期內仍會是預測市場和 Meme 幣的熱門入口，但這片領域也會持續成為攻擊者的狩獵場。我們建議項目方把安全建設當作產品的一部分，同步向用戶公開進展；用戶也應保持警覺，別把聊天快捷鍵當成無風險的資產管家。

我們ExVul Security，長期聚焦交易機器人與鏈上基礎設施的攻防研究，可提供針對 Telegram 交易機器人的安全審計、滲透測試與應急響應服務。如果您的項目正處於開發或上線階段，歡迎隨時與我們聯繫，共同把潛在風險消滅在落地之前。

關於我們ExVul

ExVul 是一家 Web3 安全公司，服務範圍涵蓋智能合約審計、區塊鏈協議審計、錢包審計、Web3滲透測試、安全諮詢與規劃。ExVul 致力於提升Web3生態整體安全性，始終站在Web3安全研究前沿領域。