ผู้เขียน: ExVul Security บริษัทด้านความปลอดภัย Web3
หนึ่ง, บันทึกเหตุการณ์อย่างรวดเร็ว
13 มกราคม 2026 ทาง Polycule ยืนยันอย่างเป็นทางการว่า บอทเทรด Telegram ของพวกเขาถูกแฮก เงินของผู้ใช้ประมาณ 23 ล้านดอลลาร์ถูกโจรกรรม ทีมงานอัปเดตอย่างรวดเร็วบน X: บอทถูกถอดออนไลน์ทันที แพทช์แก้ไขถูกผลักดันอย่างรวดเร็ว และสัญญาว่าผู้ใช้ที่ได้รับผลกระทบจาก Polygon จะได้รับการชดเชย จากประกาศหลายรอบตั้งแต่เมื่อคืนถึงวันนี้ ทำให้การสนทนาเกี่ยวกับความปลอดภัยในเส้นทางบอทเทรด Telegram ยังคงร้อนแรงขึ้นเรื่อยๆ
สอง, Polycule ทำงานอย่างไร
ตำแหน่งของ Polycule ชัดเจนมาก: ให้ผู้ใช้ทำการสำรวจตลาด จัดการตำแหน่ง และการปรับเงินทุนบน Telegram ได้อย่างง่ายดาย โมดูลหลักประกอบด้วย:
เปิดบัญชีและแผงควบคุม: /start จะอัตโนมัติจัดสรรกระเป๋า Polygon และแสดงยอดคงเหลือ /home, /help ให้ทางเข้าและคำอธิบายคำสั่ง
ข้อมูลตลาดและการเทรด: /trending, /search, วาง URL ของ Polymarket ก็สามารถดึงรายละเอียดตลาดได้โดยตรง; บอทให้คำสั่งซื้อขายตามราคาตลาด/ราคาจำกัด, ยกเลิกคำสั่ง, ดูกราฟ
กระเป๋าและเงินทุน: /wallet รองรับการดูสินทรัพย์, ถอนเงิน, แลก POL/USDC, ส่งออกคีย์ส่วนตัว; /fund แนะนำขั้นตอนเติมเงิน
สะพานเชื่อมข้ามสายโซ่: ผนวกกับ deBridge อย่างลึกซึ้ง ช่วยให้ผู้ใช้สามารถเชื่อมต่อสินทรัพย์จาก Solana เข้าสู่ระบบ และโดยค่าเริ่มต้นหัก 2% ของ SOL เพื่อแลกเป็น POL สำหรับ Gas
ฟังก์ชันขั้นสูง: /copytrade เปิดหน้าจอคัดลอกการเทรด สามารถตามด้วยเปอร์เซ็นต์, จำนวนคงที่ หรือกฎกำหนดเอง, ยังสามารถตั้งพักการเทรด, เทรดย้อนกลับ, แชร์กลยุทธ์ และความสามารถขยายอื่นๆ
Polycule Trading Bot รับผิดชอบในการสนทนากับผู้ใช้ วิเคราะห์คำสั่ง และจัดการคีย์ในเบื้องหลัง, ลงนามในธุรกรรม, ติดตามเหตุการณ์บนเชนอย่างต่อเนื่อง
เมื่อผู้ใช้พิมพ์ /start ระบบจะสร้างกระเป๋า Polygon อัตโนมัติและเก็บรักษาคีย์ส่วนตัว จากนั้นสามารถส่งคำสั่ง /buy, /sell, /positions ฯลฯ เพื่อเช็คยอด, สั่งซื้อ, จัดการตำแหน่งได้ บอทยังสามารถวิเคราะห์ลิงก์เว็บ Polymarket แล้วส่งกลับทางเข้าเทรดโดยตรง การเชื่อมต่อข้ามสายโซ่ก็พึ่งพา deBridge ซึ่งรองรับการเชื่อม SOL เข้าสู่ Polygon และหัก 2% ของ SOL เพื่อแลกเป็น POL สำหรับชำระ Gas การใช้งานฟังก์ชันขั้นสูง เช่น Copy Trading, คำสั่งจำกัด, การตรวจสอบอัตโนมัติของกระเป๋าเป้าหมาย ต้องให้เซิร์ฟเวอร์ออนไลน์ตลอดเวลาและลงนามธุรกรรมอย่างต่อเนื่อง
สาม, ความเสี่ยงร่วมของบอทเทรด Telegram
เบื้องหลังการสนทนาแบบสะดวกสบาย คือจุดอ่อนด้านความปลอดภัยที่ยากจะหลีกเลี่ยงหลายประการ:
อันดับแรก, เกือบทุกบอทจะเก็บคีย์ส่วนตัวของผู้ใช้ไว้บนเซิร์ฟเวอร์ของตัวเอง การทำธุรกรรมจะลงนามแทนในเบื้องหลัง ซึ่งหมายความว่า หากเซิร์ฟเวอร์ถูกโจมตีหรือการดูแลรักษาไม่รัดกุม ข้อมูลรั่วไหล ผู้โจมตีสามารถส่งออกคีย์ส่วนตัวจำนวนมากและขโมยเงินของผู้ใช้ทั้งหมดในครั้งเดียวได้ ต่อมา, การยืนยันตัวตนขึ้นอยู่กับบัญชี Telegram เอง หากผู้ใช้ถูกโจรกรรมซิมการ์ดหรืออุปกรณ์สูญหาย ผู้โจมตีไม่จำเป็นต้องรู้รหัสช่วยจำ ก็สามารถควบคุมบัญชีบอทได้ สุดท้าย, ไม่มีหน้าต่างป็อปอัปในเครื่องเพื่อยืนยันธุรกรรม — กระเป๋าเงินแบบดั้งเดิมต้องการให้ผู้ใช้ยืนยันด้วยตนเองในแต่ละครั้ง แต่ในโหมดบอท หากลอจิกเบื้องหลังผิดพลาด ระบบอาจทำการโอนเงินโดยที่ผู้ใช้ไม่รู้ตัว
สี่, จุดอ่อนเฉพาะของเอกสาร Polycule ที่เปิดเผย
จากเนื้อหาในเอกสาร สามารถคาดการณ์ได้ว่า เหตุการณ์นี้และความเสี่ยงในอนาคตจะเน้นไปที่ประเด็นหลักดังนี้:
อินเทอร์เฟซส่งออกคีย์ส่วนตัว: /wallet เมนูอนุญาตให้ผู้ใช้ส่งออกคีย์ส่วนตัว ซึ่งแสดงว่าระบบเก็บข้อมูลคีย์ในรูปแบบที่สามารถย้อนกลับได้ หากมีการโจมตีแบบ SQL injection, อินเทอร์เฟซที่ไม่ได้รับอนุญาต หรือการรั่วไหลของบันทึกล็อก ผู้โจมตีสามารถเรียกใช้ฟังก์ชันส่งออกได้โดยตรง สถานการณ์นี้สอดคล้องกับการโจรกรรมครั้งนี้เป็นอย่างมาก
การวิเคราะห์ URL อาจทำให้เกิด SSRF: บอทสนับสนุนให้ผู้ใช้ส่งลิงก์ Polymarket เพื่อดูข้อมูลตลาด หากการตรวจสอบข้อมูลเข้าไม่เข้มงวดเพียงพอ ผู้โจมตีอาจปลอมแปลงลิงก์ไปยังเครือข่ายภายในหรือข้อมูลเมตาของคลาวด์ แล้วให้เบื้องหลัง “โดนหลอก” เพื่อขโมยข้อมูลรับรองหรือการตั้งค่าเพิ่มเติม
ตรรกะการฟังของ Copy Trading: การคัดลอกการเทรดหมายความว่าบอทจะตามการดำเนินการของกระเป๋าเป้าหมาย หากเหตุการณ์ที่ฟังได้สามารถปลอมแปลงได้ หรือระบบขาดการกรองความปลอดภัยของธุรกรรมเป้าหมาย ผู้ใช้ตามอาจถูกนำเข้าสู่สัญญาอันตราย เงินทุนอาจถูกล็อคหรือถูกดึงออกโดยตรง
การเชื่อมต่อข้ามสายโซ่และการแลกเปลี่ยนอัตโนมัติ: กระบวนการแลก SOL 2% เป็น POL เกี่ยวข้องกับอัตราแลกเปลี่ยน, สลิปเพจ, สัญญาณบอกราคา และสิทธิ์ในการดำเนินการ หากการตรวจสอบพารามิเตอร์เหล่านี้ไม่เข้มงวดเพียงพอ แฮกเกอร์อาจเพิ่มความเสียหายจากการแลกเปลี่ยนในระหว่างการเชื่อมต่อ หรือย้ายงบ Gas นอกจากนี้ หากการตรวจสอบการรับรองของ deBridge ขาดความรัดกุม ก็อาจเกิดความเสี่ยงในการเติมเงินปลอม หรือบันทึกซ้ำซ้อน
ห้า, คำเตือนสำหรับทีมโปรเจกต์และผู้ใช้
สิ่งที่ทีมโปรเจกต์สามารถทำได้ รวมถึง: จัดทำรายงานวิเคราะห์ทางเทคนิคที่โปร่งใสและสมบูรณ์ก่อนฟื้นฟูบริการ; ทำการตรวจสอบเฉพาะด้านเกี่ยวกับการเก็บรักษาคีย์, การแยกสิทธิ์, การตรวจสอบข้อมูลเข้า; ทบทวนการควบคุมการเข้าถึงเซิร์ฟเวอร์และกระบวนการปล่อยโค้ดใหม่; เพิ่มกลไกยืนยันซ้ำหรือจำกัดวงเงินในกิจกรรมสำคัญ เพื่อลดความเสียหายเพิ่มเติม
สำหรับผู้ใช้ปลายทาง ควรควบคุมขนาดของเงินทุนในบอทเทรด, ถอนกำไรออกอย่างรวดเร็ว, เปิดใช้งานการยืนยันสองชั้นของ Telegram, การจัดการอุปกรณ์แยกต่างหาก และมาตรการป้องกันอื่นๆ จนกว่าทีมโปรเจกต์จะให้คำมั่นสัญญาด้านความปลอดภัยอย่างชัดเจน ควรพิจารณาเฝ้าระวังและหลีกเลี่ยงการลงทุนเพิ่มในช่วงนี้
หก, คำส่งท้าย
เหตุการณ์ของ Polycule ทำให้เราตระหนักอีกครั้งว่า: เมื่อประสบการณ์การเทรดถูกบีบให้เป็นคำสั่งสนทนา ความปลอดภัยก็ต้องพัฒนาไปพร้อมกัน การสร้างบอทเทรดบน Telegram ยังคงเป็นทางเข้ายอดนิยมสำหรับตลาดคาดการณ์และ Meme Coin ในระยะสั้น แต่ก็เป็นสนามล่าของแฮกเกอร์อย่างต่อเนื่อง เราแนะนำให้โปรเจกต์นำความปลอดภัยเป็นส่วนหนึ่งของผลิตภัณฑ์ และเปิดเผยความคืบหน้าให้ผู้ใช้รับรู้ด้วยความโปร่งใส ผู้ใช้เองก็ควรระวัง อย่าใช้คำสั่งสนทนาเป็นตัวแทนการจัดการสินทรัพย์ที่ไม่มีความเสี่ยง
