Em 13 de janeiro de 2026, a Polycule confirmou oficialmente que seu bot de negociação no Telegram foi alvo de um ataque hacker, resultando no roubo de aproximadamente 230 mil dólares em fundos de usuários. A equipe atualizou rapidamente no X: o bot foi retirado do ar, patches de correção foram implementados com rapidez, e compromissos foram feitos de que os usuários afetados na Polygon seriam compensados. Desde ontem à noite até hoje, várias notificações mantiveram o debate sobre segurança na pista de bots de negociação no Telegram em alta.

Dois, Como funciona a Polycule

A proposta da Polycule é bastante clara: permitir que os usuários naveguem por mercados, gerenciem posições e movimentem fundos no Polymarket através do Telegram. Os principais módulos incluem:

Abertura de conta e painel: /start automaticamente fornece uma carteira Polygon e exibe o saldo, /home e /help oferecem acesso e instruções.

Dados de mercado e negociação: /trending, /search, ou colar diretamente a URL do Polymarket permite obter detalhes do mercado; o bot oferece ordens a mercado/limitadas, cancelamento de ordens e visualização de gráficos.

Carteira e fundos: /wallet permite verificar ativos, retirar fundos, trocar POL/USDC, exportar chaves privadas; /fund orienta sobre o processo de recarga.

** Ponte entre blockchains:** integração profunda com deBridge, ajudando os usuários a transferir ativos de Solana para a Polygon, com uma dedução padrão de 2% em SOL para troca por POL para Gas.

Recursos avançados: /copytrade abre a interface de cópia de negociações, permitindo seguir por porcentagem, valor fixo ou regras personalizadas, além de configurações de pausa, negociação reversa, compartilhamento de estratégias e outras funcionalidades.

O Polycule Trading Bot é responsável por interagir com os usuários, interpretar comandos, além de gerenciar chaves de forma backend, assinar transações e monitorar eventos na blockchain continuamente.

Após o usuário digitar /start, o backend gera automaticamente uma carteira Polygon e mantém a chave privada segura. Depois, pode-se continuar enviando comandos como /buy, /sell, /positions para consultar, negociar e gerenciar posições. O bot também consegue interpretar links de páginas do Polymarket, retornando diretamente o link de negociação. Os fundos entre blockchains dependem da integração com deBridge, suportando a ponte de SOL para Polygon, com uma dedução padrão de 2% em SOL para troca por POL para pagamento de Gas. Funcionalidades mais avançadas incluem Copy Trading, ordens limitadas, monitoramento automático de carteiras-alvo, que requerem um servidor sempre online e assinatura contínua de transações.

Três, Riscos comuns dos bots de negociação no Telegram

Por trás de uma interação de chat conveniente, existem algumas vulnerabilidades de segurança difíceis de evitar:

Primeiro, quase todos os bots armazenam a chave privada do usuário em seus próprios servidores, assinando transações em nome do usuário. Isso significa que, se o servidor for invadido ou ocorrer vazamento de dados por má administração, o atacante pode exportar em massa as chaves privadas e roubar todos os fundos dos usuários de uma só vez. Em segundo lugar, a autenticação depende da conta do Telegram; se o usuário sofrer sequestro de SIM ou perder o dispositivo, o atacante pode controlar a conta do bot sem precisar da frase-semente. Por fim, não há uma confirmação local na etapa — enquanto carteiras tradicionais exigem confirmação do usuário para cada transação, no modo de bot, qualquer falha na lógica do backend pode fazer o sistema transferir dinheiro automaticamente sem o conhecimento do usuário.

Quatro, Particularidades reveladas na documentação da Polycule

Com base no conteúdo da documentação, é possível inferir que o incidente atual e riscos futuros se concentram principalmente em:

Interface de exportação de chaves privadas: /wallet permite que o usuário exporte a chave privada, indicando que o backend armazena dados de chaves reversíveis. Se houver vulnerabilidades como injeção de SQL, interfaces não autorizadas ou vazamento de logs, o atacante pode usar essa funcionalidade para exportar chaves, cenário altamente compatível com o roubo ocorrido.

Possibilidade de SSRF na análise de URLs: o bot incentiva os usuários a enviar links do Polymarket para obter dados de mercado. Se a validação desses links for fraca, um atacante pode falsificar URLs apontando para redes internas ou metadados de serviços na nuvem, fazendo o backend “pisar na armadilha” e roubar credenciais ou configurações.

Lógica de monitoramento do Copy Trading: seguir uma carteira significa que o bot acompanha as operações do alvo. Se os eventos monitorados puderem ser falsificados ou se o sistema não tiver filtros de segurança para as transações do alvo, o usuário que segue pode ser levado a contratos maliciosos, com fundos potencialmente bloqueados ou até roubados diretamente.

Ponte entre blockchains e troca automática de moedas: o processo de trocar automaticamente 2% de SOL por POL envolve taxas de câmbio, slippage, oráculos e permissões de execução. Se esses parâmetros não forem rigorosamente validados, hackers podem ampliar perdas na troca ou transferir o orçamento de Gas. Além disso, a validação de recibos do deBridge, se negligenciada, pode levar a riscos de recarga falsa ou entradas duplicadas.

Cinco, Avisos para a equipe do projeto e usuários

Para a equipe do projeto: podem fazer uma análise técnica completa e transparente antes de restabelecer o serviço; realizar auditorias específicas em armazenamento de chaves, isolamento de permissões e validação de entradas; revisar o controle de acesso ao servidor e o fluxo de publicação de código; implementar confirmações secundárias ou limites para operações críticas, reduzindo danos adicionais.

Para os usuários finais: devem limitar o valor de fundos no bot, retirar lucros prontamente e ativar ao máximo a autenticação de dois fatores do Telegram, gerenciamento de dispositivos independentes e outras medidas de proteção. Antes de receberem compromissos de segurança claros do projeto, é prudente aguardar e evitar investir mais capital.

Seis, Encerramento

O incidente da Polycule reforça a ideia de que, quando a experiência de negociação é comprimida em um comando de chat, as medidas de segurança também precisam evoluir. Por um curto período, bots de negociação no Telegram continuarão sendo uma porta popular para mercados de previsão e Meme Coins, mas esse campo também continuará sendo um alvo para atacantes. Recomendamos que os projetos tratem a segurança como parte do produto, divulgando progressos aos usuários; e que os usuários mantenham a vigilância, não considerando atalhos de chat como uma gestão de ativos sem riscos.

Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o Aviso Legal.

Exchange polonesa Zondacrypto interrompe operações; clientes perderam $95 milhões, podem buscar indenização do Estado

Incidentes de segurança Risco cambial

Mensagem do Gate News, 23 de abril — A exchange polonesa de criptomoedas Zondacrypto encerrou suas operações esta semana em meio a problemas de solvência, com promotores identificando centenas de possíveis vítimas que perderam acesso a pelo menos 350 milhões de zloty poloneses (aproximadamente $95 milhões). Os promotores afirmaram que

GateNews1h atrás

Fundador do Believe, Benjamin Pasternak, Preso por Acusações de Estrangulamento e Agressão

Ações de fiscalização Risco cambial

Mensagem do Gate News, 23 de abril — Benjamin Pasternak, fundador de 26 anos da plataforma SocialFi Believe baseada na Solana, foi preso na terça-feira (22 de abril), sob acusações de estrangulamento em segundo grau e duas acusações de agressão em terceiro grau com intenção de causar lesões físicas, de acordo com

GateNews5h atrás

A Ethereum da Aave Congelada no Meio da Crise de Liquidez do USDC; A Circle Propõe Aumento Emergencial da Taxa para 48%

ethereum news Fluxo de capital Progresso do projeto Eventos de tokens Incidentes de segurança Risco cambial Dados on-chain

Mensagem do Gate News, 23 de abril — A plataforma Ethereum da Aave foi congelada por quase quatro dias depois que a utilização do USDC atingiu 99%, bloqueando aproximadamente US$ 1,86 bilhão em fundos dos usuários. O economista-chefe da Circle, Gordon Liao, propôs uma intervenção emergencial de governança para lidar com a crise, marcando uma rara participação direta da Circle na governança de protocolos de terceiros, ra

GateNews5h atrás

A Gate vai remover do ar em 30 de abril as negociações de 14 tokens como 5IRE, UNO, BLY etc.; os usuários precisam retirar os ativos ou solicitar a recompra dentro do prazo estipulado

Regulamentação e política Risco cambial

Notícia da Gate, conforme mensagem oficial da Gate A Gate anunciou a remoção dos serviços de negociação de 14 tokens. Os tokens envolvidos na remoção incluem 5IRE, UNO, BLY, CLEAR, KIMA, TMAI, LOVE, TARA, DIONE, STARL, MASA, OPUL, MCRT e ROCK, todos correspondendo a pares de negociação com USDT. A Gate já suspendeu o serviço de recarga desses tokens e, até 30/04/2026 às 11:00(UTC+8), encerrará a concessão de novos empréstimos com margem e empréstimos com garantia, além de suspender, simultaneamente, os pares de negociação à vista relacionados, a grade quantitativa, o Remainder Money (余币宝) e as negociações com margem. Após 30/04/2026, os usuários que ainda mantiverem os tokens acima na Gate poderão enviar uma solicitação para participar do recompra. O preço da recompra varia conforme o tipo de moeda. Os usuários devem enviar o formulário de solicitação de recompra no período de 14/05/2026 a 21/05/2026; para uma única conta,

GateAnnouncement8h atrás

Fundador da Believe, Benjamin Pasternak, Preso por Acusações de Homicídio em Segundo Grau e Agressão

Ações de fiscalização Risco cambial

Mensagem da Gate News, 23 de abril — De acordo com registros públicos do Tribunal Criminal de Nova York, Benjamin Pasternak, fundador da Believe, foi preso sob acusações de homicídio em segundo grau e agressão, com uma audiência marcada para 11 de junho de 2026. Pasternak foi anteriormente acusado de envolvimento em um esquema de saída de token

GateNews12h atrás

ZachXBT Faz Alerta Contra á Bitcoin Markup de Mais de 44% no Caixa Eletrônico da Bitcoin Depot

bitcoin news Incidentes de segurança Risco cambial

ZachXBT alerta que os caixas eletrônicos da Bitcoin Depot impõem prêmios elevados—$25k fiat a US$ 108k/BTC vs. ~$75k mercado (sobre 44%), levando a uma perda de ~ US$ 7,5k em 0,232 BTC; também cita uma violação de segurança de US$ 3,26M. Este artigo resume os alertas de ZachXBT sobre as práticas de precificação da Bitcoin Depot e uma recente violação de segurança, destacando riscos de taxas infladas e falhas de segurança para os usuários.

GateNews04-22 08:16

Comentário

0/400

Sem comentários