Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, Mastercard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

Le bot de trading de niveau supérieur Polycule sur Polymarket a été attaqué. Comment le projet de marché de prédiction doit-il renforcer sa sécurité ?

PANews
Risque lié à l’exchange
POL0,19%
DBR0,59%
SOL-0,46%

Auteur : ExVul Security, société de sécurité Web3

一、Résumé de l’événement

Le 13 janvier 2026, Polycule a confirmé que son robot de trading Telegram avait été piraté, avec environ 230 000 dollars de fonds d’utilisateurs volés. L’équipe a rapidement publié une mise à jour sur X : le robot a été mis hors ligne, un correctif a été déployé en urgence, et il a été promis que les utilisateurs affectés du côté Polygon seraient indemnisés. Depuis la veille au soir jusqu’à aujourd’hui, plusieurs annonces ont alimenté la discussion sur la sécurité dans le domaine des robots de trading Telegram.

二、Comment fonctionne Polycule

La position de Polycule est très claire : permettre aux utilisateurs de naviguer sur le marché, gérer leurs positions et leurs fonds via Telegram sur Polymarket. Les modules principaux incluent :

Ouverture de compte et tableau de bord : /start attribue automatiquement un portefeuille Polygon et affiche le solde, /home et /help offrent des accès et des instructions.

Marché et trading : /trending, /search, ou coller directement une URL Polymarket permettent d’obtenir les détails du marché ; le robot propose des ordres au marché / limite, l’annulation d’ordres et la visualisation de graphiques.

Portefeuille et fonds : /wallet permet de consulter les actifs, retirer des fonds, échanger POL/USDC, exporter la clé privée ; /fund guide le processus de recharge.

Pont inter-chaînes : intégration approfondie avec deBridge, aidant les utilisateurs à transférer des actifs depuis Solana, avec une déduction par défaut de 2% en SOL pour convertir en POL pour le gaz.

Fonctionnalités avancées : /copytrade ouvre l’interface de copie de trading, permettant de suivre selon un pourcentage, un montant fixe ou des règles personnalisées, avec options de pause, de suivi inverse, de partage de stratégies, etc.

Le Polycule Trading Bot gère la communication avec l’utilisateur, analyse les commandes, et en arrière-plan, gère les clés, signe les transactions et surveille en continu les événements sur la blockchain.

Après avoir saisi /start, le système génère automatiquement un portefeuille Polygon et conserve la clé privée. L’utilisateur peut ensuite continuer avec des commandes comme /buy, /sell, /positions pour consulter, trader et gérer ses positions. Le robot peut aussi analyser des liens web Polymarket pour fournir directement le point d’entrée au trading. Les fonds inter-chaînes passent par deBridge, permettant de bridge SOL vers Polygon, avec une déduction par défaut de 2% en SOL pour convertir en POL pour payer le gaz. Les fonctionnalités avancées incluent Copy Trading, ordres limités, surveillance automatique de portefeuilles cibles, nécessitant un serveur en ligne en permanence pour signer les transactions.

三、Risques communs aux robots de trading Telegram

Derrière une interaction conviviale en mode chat, se cachent plusieurs vulnérabilités de sécurité difficiles à éviter :

Premièrement, presque tous les robots stockent la clé privée des utilisateurs sur leurs serveurs, et effectuent des signatures de transactions en leur nom. Cela signifie qu’en cas de piratage du serveur ou de fuite accidentelle de données, un attaquant peut exporter en masse ces clés privées, volant ainsi tous les fonds des utilisateurs en une seule fois. Deuxièmement, l’authentification repose sur le compte Telegram lui-même : si l’utilisateur est victime d’un détournement de SIM ou perd son appareil, l’attaquant peut contrôler le compte du robot sans connaître la phrase de récupération. Enfin, il n’y a pas de confirmation locale par popup — contrairement à un portefeuille traditionnel où chaque transaction doit être confirmée manuellement par l’utilisateur —, dans le mode robot, une erreur dans la logique backend peut entraîner un transfert automatique de fonds à l’insu de l’utilisateur.

四、Les vulnérabilités spécifiques révélées par la documentation de Polycule

En analysant la documentation, on peut supposer que cet incident et les risques futurs potentiels se concentrent principalement sur les points suivants :

Interface d’exportation de la clé privée : /wallet permet aux utilisateurs d’exporter leur clé privée, indiquant que le backend stocke des données de clés réversibles. En cas d’injection SQL, d’interface non autorisée ou de fuite dans les logs, un attaquant pourrait exploiter cette fonction pour exporter directement ces clés, ce qui correspond fortement à la situation du vol.

Analyse d’URL pouvant déclencher une SSRF : le robot encourage l’utilisateur à soumettre des liens Polymarket pour obtenir des informations de marché. Si la validation de ces entrées est insuffisante, un attaquant peut falsifier des liens pointant vers des ressources internes ou des métadonnées cloud, permettant au backend d’être victime d’un “piège” et de voler des identifiants ou des configurations.

Logique d’écoute du Copy Trading : suivre un portefeuille cible implique que le robot doit suivre et reproduire ses opérations. Si les événements écoutés peuvent être falsifiés ou si le système manque de filtres de sécurité, l’utilisateur en copie pourrait être entraîné dans un contrat malveillant, avec un risque de verrouillage ou de vol direct des fonds.

Pont inter-chaînes et échange automatique : le processus d’échange automatique de 2% de SOL en POL dépend des taux de change, du slippage, des oracles et des droits d’exécution. Si ces paramètres ne sont pas strictement vérifiés dans le code, un attaquant pourrait augmenter la perte lors du bridge ou détourner le budget de gas. De plus, une validation insuffisante des reçus de deBridge peut entraîner des risques de rechargements frauduleux ou de double comptabilisation.

五、Conseils pour l’équipe du projet et les utilisateurs

Ce que l’équipe peut faire : publier un retour technique complet et transparent avant la reprise du service ; réaliser des audits spécifiques sur le stockage des clés, la séparation des permissions, la validation des entrées ; revoir les contrôles d’accès serveur et le processus de déploiement ; introduire une double confirmation ou des limites pour les opérations critiques afin de réduire les dommages potentiels.

Ce que les utilisateurs doivent faire : limiter la taille des fonds dans le robot, retirer rapidement les gains, activer en priorité la double authentification Telegram et la gestion sur appareils séparés. Avant que le projet ne fasse des engagements de sécurité clairs, il vaut mieux attendre et éviter d’ajouter des fonds.

六、Conclusion

L’incident de Polycule rappelle une fois de plus : lorsque l’expérience de trading se résume à une commande en chat, les mesures de sécurité doivent également évoluer. Les robots de trading Telegram resteront à court terme une porte d’entrée populaire pour le marché des prédictions et des memecoins, mais ce domaine continuera d’être une cible privilégiée pour les attaquants. Nous recommandons aux projets de considérer la sécurité comme une partie intégrante du produit, en communiquant régulièrement sur les avancées ; les utilisateurs doivent aussi rester vigilants et ne pas considérer la messagerie comme un gestionnaire d’actifs sans risque.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Le logiciel malveillant GlassWorm déploie 73 extensions en veille dans OpenVSX pour voler des portefeuilles crypto

Incidents de sécuritéRisque lié à l’exchange

Message de Gate News, 28 avril — Des chercheurs en sécurité ont identifié 73 extensions malveillantes implantées par le logiciel malveillant GlassWorm dans le registre d'OpenVSX, dont six ont déjà été activées pour voler les portefeuilles de cryptomonnaies et les identifiants des développeurs. Les extensions ont été téléversées sous forme de copies factices d'annonces légitimes, avec des codes malveillants injectés via des mises à jour ultérieures, w

GateNewsIl y a 3h

ZetaChain suspend les transactions inter-chaînes après une attaque de contrat intelligent

bitcoin newsethereum newsUSDC newsProgression du projetIncidents de sécuritéRisque lié à l’exchange

Le réseau de couche 1 ZetaChain a suspendu les transactions inter-chaînes sur son mainnet après avoir identifié une attaque visant son contrat GatewayEVM, selon The Block. L’incident n’a touché que les portefeuilles internes de l’équipe ZetaChain, sans fonds utilisateurs affectés, a déclaré l’équipe. D’après les données de DefiLlama, $300,000

CryptoFrontierIl y a 13h

Compte Twitter Officiel de Monad Gelé, Probablement Touché par la Campagne de Nettoyage Crypto de la Plateforme X

Risque lié à l’exchange

Message de Gate News, 28 avril — Le compte Twitter officiel de Monad a été gelé, selon des données de la plateforme X. L’équipe et X n’ont pas publié de déclarations officielles expliquant la raison de la suspension. Le gel intervient alors que X procède à un grand nettoyage dans l’espace Crypto et Web3

GateNewsIl y a 15h

ZachXBT remet en question le lancement de WLD de WorldCoin à faible circulation et forte valorisation, et signale des ventes en interne

Événements de tokensRéglementation et politiquesIncidents de sécuritéRisque lié à l’exchangeActualités de l’industrie de l’IATokens IA

Message de Gate News, 28 avril — Le détective on-chain ZachXBT a allégué que WorldCoin (now World), une entreprise fondée par Sam Altman, avait lancé des jetons WLD avec une faible circulation et une valorisation élevée, reproduisant le modèle utilisé par SBF et FTX. D’après ZachXBT, l’entreprise a distribué de petites quantités de WLD à nous

GateNewsIl y a 17h

ZetaChain interrompt les transactions cross-chain après une attaque contre le contrat GatewayEVM

bitcoin newsethereum newsUSDC newsProgression du projetIncidents de sécuritéRisque lié à l’exchange

Message de Gate News, 28 avril — Le réseau de niveau 1 ZetaChain a mis en pause les transactions cross-chain sur son mainnet après avoir identifié une attaque visant le contrat GatewayEVM, un smart contract servant de point d’entrée unifié pour les interactions cross-chain entre des chaînes externes compatibles EVM et les applications ZetaChain.

GateNewsIl y a 21h

Lorsque la DeFi est trop lente pour les jeunes et trop risquée pour les vieilles fortunes : est-ce qu’on s’accroche tous au rendement des obligations d’État pour compenser le risque des obligations pourries ?

Analyse du marchéVolatilité des prixIncidents de sécuritéRisque lié à l’exchange

La DeFi a autrefois attiré les jeunes avec des APY à cinq chiffres, mais elle est désormais considérée comme trop chère et trop risquée. Au cours de la dernière année, plus de 1,62 milliard de dollars ont été volés ; Aave a vu son taux grimper jusqu’à 12,4 % à un moment. Le rendement équitable est d’environ 12,55 %, avec un seuil de 18 % pour les particuliers ; les institutions préfèrent une « caisse-forte d’isolation des stratégies » afin de réduire le risque de queue. Conclusion : l’effet de levier élevé n’est plus, et à l’avenir il faudra une tarification du risque plus élevée et des instruments d’assurance pour pouvoir accueillir à la fois les jeunes et les vieux capitaux.

ChainNewsAbmedia04-27 08:27
Commentaire
0/400
Aucun commentaire