一、イベント速記

2026年1月13日、Polyculeの公式はそのTelegram取引ボットがハッキングされ、約23万ドルのユーザー資金が盗まれたことを確認しました。チームはX上で迅速に更新し、ボットは直ちにオフラインとなり、修正パッチが急速に進められ、Polygon側の影響を受けたユーザーには補償が行われると約束しました。昨晩から今日にかけての数回の通知により、Telegram取引ボットのセキュリティに関する議論が盛り上がっています。

二、Polyculeの運用方法

Polyculeの位置付けは非常に明確です：ユーザーがTelegram上でPolymarketの市場閲覧、ポジション管理、資金調達を行えるようにすることです。主なモジュールは以下の通りです：

口座開設とパネル： `/start` は自動的にPolygonウォレットを割り当て、残高を表示します。 `/home`、`/help` は入口と指示説明を提供します。

市場と取引： `/trending`、`/search`、直接PolymarketのURLを貼り付けることで市場の詳細を取得できます。ボットは市場価格/指値注文、注文キャンセル、チャート表示を提供します。

ウォレットと資金： `/wallet` は資産の確認、資金の引き出し、POL/USDCの交換、秘密鍵のエクスポートをサポートします。 `/fund` は入金プロセスを案内します。

クロスチェーンブリッジ： deBridgeを深く統合し、ユーザーがSolanaから資産をブリッジできるようにし、デフォルトで2%のSOLをPOLに交換してGasに使用します。

高度な機能： `/copytrade` はコピー取引インターフェースを開き、パーセンテージ、固定額、またはカスタムルールに従ってフォローできます。また、一時停止、逆フォロー、戦略共有などの拡張機能も設定できます。

Polycule Trading Botはユーザーとの対話を担当し、指示を解析し、バックエンドでキーを管理し、取引に署名し、チェーン上のイベントを継続的に監視します。

ユーザーが`/start`を入力すると、バックエンドは自動的にPolygonウォレットを生成し、秘密鍵を保管します。その後、`/buy`、`/sell`、`/positions`などのコマンドを送信して、取引の確認、注文、ポジション管理などの操作を続けることができます。ボットはPolymarketのウェブリンクを解析し、直接取引の入口を返します。クロスチェーン資金はdeBridgeを介して接続され、SOLをPolygonにブリッジし、デフォルトで2%のSOLをPOLに交換してGasの支払いに使用します。より高度な機能にはコピー取引、指値注文、ターゲットウォレットの自動監視などが含まれ、サーバーが長時間オンラインであり、継続的に取引に署名する必要があります。

ハッキング攻撃のため、現在これらの機能はすべて停止しています。

三、Telegram取引ボットの共通リスク

便利なチャット式インタラクションの背後には、回避が難しいいくつかのセキュリティの短所があります：

まず、ほぼすべてのボットはユーザーの秘密鍵を自分のサーバーに保存し、取引はバックエンドで直接署名されます。これは、サーバーが侵害されたり、運用ミスでデータが漏洩した場合、攻撃者が秘密鍵を一括でエクスポートし、すべてのユーザーの資金を一度に盗むことができることを意味します。次に、認証はTelegramアカウント自体に依存しているため、ユーザーがSIMカードのハイジャックやデバイスの紛失に遭遇した場合、攻撃者はリカバリーフレーズを把握することなくボットアカウントを制御できます。最後に、ローカルのポップアップ確認がないことです------従来のウォレットでは、各取引はユーザーが自ら確認する必要がありますが、ボットモードではバックエンドのロジックに誤りがあれば、システムはユーザーが知らないうちに自動的に資金を転送する可能性があります。

四、Polycule文書が明らかにした特有の攻撃面

文書の内容を考慮すると、今回の事件と今後の潜在的リスクは主に以下の点に集中していると推測されます：

秘密鍵エクスポートインターフェース ：`/wallet`メニューはユーザーに秘密鍵をエクスポートすることを許可しており、バックエンドが可逆的な鍵データを保存していることを示しています。SQLインジェクション、未承認のインターフェース、またはログ漏洩が存在する場合、攻撃者は直接エクスポート機能を呼び出すことができ、今回の盗難と高度に一致するシナリオが発生します。

URL解析がSSRFを引き起こす可能性 ：ボットはユーザーにPolymarketリンクを提出して市場情報を取得することを奨励しています。入力が厳密に検証されていない場合、攻撃者は内部ネットワークやクラウドサービスのメタデータを指すリンクを偽造し、バックエンドを「踏み外させ」、さらに証明書や設定を盗むことができます。

コピー取引のリスニングロジック ：コピー取引はボットがターゲットウォレットの操作を同期することを意味します。リスニングされるイベントが偽造可能であったり、システムがターゲット取引のセキュリティフィルタリングを欠いている場合、フォロワーは悪意のある契約に巻き込まれ、資金がロックされたり、直接引き出されたりする可能性があります。

クロスチェーンと自動換金のプロセス ：自動的に2%のSOLをPOLに交換するプロセスは、為替レート、スリッページ、オラクル、実行権限を含みます。これらのパラメータの検証が厳密でない場合、ハッカーはブリッジ時に換金損失を拡大したり、Gas予算を移転したりする可能性があります。また、deBridgeのレシートの検証が不十分である場合、虚偽の入金や重複入金のリスクも生じます。

五、プロジェクトチームとユーザーへの注意喚起

プロジェクトチームができることには、サービスを再開する前に完全で透明な技術レビューを提供すること、秘密鍵の保存、権限の分離、入力検証に関する特別な監査を行うこと、サーバーアクセス制御とコードリリースプロセスを再整理すること、重要な操作に二重確認または限度メカニズムを導入してさらなる被害を軽減することが含まれます。

エンドユーザーは、ボット内の資金規模を制御し、利益をタイムリーに引き出し、Telegramの二要素認証、独立デバイス管理などの防護手段を優先的に有効にすることを検討すべきです。プロジェクト側が明確なセキュリティの約束を示すまで、様子を見て、元本の追加を避けることをお勧めします。

六、後記

Polyculeの事故は、取引体験がチャットコマンドに圧縮されると、セキュリティ対策も同時にアップグレードされる必要があることを再認識させます。Telegram取引ボットは短期的には予測市場やMemeコインの人気の入口であり続けますが、この分野は攻撃者の狩場としても持続的に存在します。私たちはプロジェクト側にセキュリティ構築を製品の一部とし、ユーザーに進捗を公開することをお勧めします。ユーザーも警戒を保ち、チャットのショートカットを無リスクの資産管理者と見なさないようにすべきです。

私たちExVul Securityは、取引ボットとチェーン上のインフラストラクチャに関する攻防研究に長期的に焦点を当てており、Telegram取引ボットに対するセキュリティ監査、ペネトレーションテスト、緊急対応サービスを提供できます。もしあなたのプロジェクトが開発中またはローンチ段階にある場合は、いつでもご連絡いただき、潜在的なリスクを実現前に排除するために共に取り組みましょう。

私たちExVulについて

ExVulはWeb3セキュリティ会社であり、サービス範囲はスマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3ペネトレーションテスト、安全コンサルティングと計画を含みます。ExVulはWeb3エコシステム全体の安全性を向上させることに尽力し、常にWeb3セキュリティ研究の最前線に立っています。