Tác giả: ExVul Security, Công ty an ninh Web3
一、Ghi chú nhanh về sự kiện
Ngày 13 tháng 1 năm 2026, chính thức xác nhận của Polycule rằng robot giao dịch Telegram của họ đã bị tấn công bởi hacker, khoảng 230.000 USD vốn của người dùng bị đánh cắp. Nhóm đã cập nhật nhanh trên X: robot ngay lập tức ngừng hoạt động, vá lỗi nhanh chóng và cam kết bồi thường cho các người dùng bị ảnh hưởng trên Polygon. Các thông báo liên tiếp từ tối qua đến nay đã làm nóng thêm cuộc thảo luận về an ninh trong lĩnh vực robot giao dịch Telegram.
二、Cách hoạt động của Polycule
Vị trí của Polycule rất rõ ràng: cho phép người dùng hoàn tất việc duyệt thị trường, quản lý vị thế và điều phối vốn trên Polymarket qua Telegram. Các module chính gồm:
Mở tài khoản và bảng điều khiển: /start tự động phân phối ví Polygon và hiển thị số dư, /home, /help cung cấp các lối vào và hướng dẫn lệnh.
Thị trường và giao dịch: /trending, /search, dán URL Polymarket trực tiếp đều có thể lấy chi tiết thị trường; robot cung cấp đặt lệnh theo giá thị trường/giới hạn, hủy lệnh và xem biểu đồ.
Ví và vốn: /wallet hỗ trợ xem tài sản, rút vốn, hoán đổi POL/USDC, xuất khóa riêng; /fund hướng dẫn quy trình nạp tiền.
Cầu nối chuỗi chéo: tích hợp sâu deBridge, giúp người dùng chuyển tài sản từ Solana qua cầu, mặc định trừ 2% SOL để đổi lấy POL dùng cho phí Gas.
Chức năng nâng cao: /copytrade mở giao diện sao chép giao dịch, có thể theo phần trăm, số cố định hoặc quy tắc tùy chỉnh để theo dõi, còn có thể thiết lập tạm dừng, theo chiều ngược, chia sẻ chiến lược và các khả năng mở rộng khác.
Bot Giao dịch Polycule chịu trách nhiệm trò chuyện với người dùng, phân tích lệnh, quản lý khóa trong nền, ký giao dịch và liên tục theo dõi các sự kiện trên chuỗi.
Sau khi người dùng nhập /start, hệ thống tự động tạo ví Polygon và giữ khóa riêng, sau đó có thể tiếp tục gửi các lệnh /buy, /sell, /positions để kiểm tra, đặt lệnh, quản lý vị thế. Robot còn có thể phân tích liên kết web Polymarket, trực tiếp trả về lối vào giao dịch. Vốn chuỗi chéo dựa vào deBridge, hỗ trợ cầu SOL sang Polygon, đồng thời mặc định trích 2% SOL đổi lấy POL để thanh toán phí Gas. Các chức năng nâng cao như Copy Trading, lệnh giới hạn, giám sát tự động ví mục tiêu yêu cầu server phải luôn trực tuyến và ký giao dịch liên tục.
三、Những rủi ro chung của robot giao dịch Telegram
Phía sau sự tiện lợi của tương tác dạng trò chuyện là một số điểm yếu về an ninh rất khó khắc phục:
Trước hết, hầu hết các robot đều lưu khóa riêng của người dùng trên máy chủ của mình, các giao dịch được ký thay trực tiếp từ nền. Điều này có nghĩa là nếu máy chủ bị tấn công hoặc vận hành không cẩn thận để lộ dữ liệu, kẻ tấn công có thể xuất khẩu hàng loạt khóa riêng, lấy hết toàn bộ vốn của người dùng trong một lần. Thứ hai, xác thực dựa vào tài khoản Telegram, nếu người dùng bị chiếm đoạt SIM hoặc mất thiết bị, kẻ tấn công có thể kiểm soát tài khoản robot mà không cần biết mnemonic. Cuối cùng, không có bước xác nhận bật popup cục bộ — trong ví truyền thống, mỗi giao dịch đều cần người dùng xác nhận trực tiếp, còn trong chế độ robot, chỉ cần logic phía sau có lỗi, hệ thống có thể tự động chuyển tiền mà người dùng không hay biết.
四、Các điểm tấn công đặc thù trong tài liệu của Polycule
Kết hợp nội dung tài liệu, có thể dự đoán rằng sự kiện lần này và các rủi ro tiềm năng trong tương lai chủ yếu tập trung vào các điểm sau:
Giao diện xuất khóa riêng: /wallet cho phép người dùng xuất khóa riêng, cho thấy backend lưu trữ dữ liệu khóa có thể đảo ngược. Nếu xảy ra SQL injection, API không được phép hoặc rò rỉ log, kẻ tấn công có thể trực tiếp gọi chức năng xuất, phù hợp cao với vụ bị đánh cắp lần này.
Phân tích URL có thể kích hoạt SSRF: robot khuyến khích người dùng gửi liên kết Polymarket để lấy dữ liệu thị trường. Nếu đầu vào không được kiểm tra chặt chẽ, kẻ tấn công có thể giả mạo liên kết hướng vào nội bộ hoặc metadata của dịch vụ đám mây, khiến backend tự “dẫm vào bẫy”, từ đó lấy cắp chứng thực hoặc cấu hình.
Logic theo dõi Copy Trading: sao chép giao dịch có nghĩa là robot sẽ theo dõi hoạt động của ví mục tiêu. Nếu các sự kiện này có thể bị giả mạo hoặc hệ thống thiếu lọc an toàn, người theo dõi có thể bị dẫn vào hợp đồng độc hại, vốn bị khóa hoặc bị rút trực tiếp.
Chuỗi chéo và chuyển đổi tự động: quá trình tự động đổi 2% SOL thành POL liên quan đến tỷ giá, trượt giá, oracle và quyền thực thi. Nếu các tham số này không được kiểm tra chặt chẽ, hacker có thể làm tăng thiệt hại khi cầu nối hoặc chuyển đổi, hoặc chuyển ngân sách Gas. Ngoài ra, nếu xác thực phản hồi của deBridge bị thiếu, cũng có thể dẫn đến rủi ro nạp giả hoặc ghi nhận trùng lặp.
五、Những cảnh báo dành cho nhóm dự án và người dùng
Nhóm dự án có thể làm: trước khi khôi phục dịch vụ, cung cấp một bản tổng kết kỹ thuật rõ ràng, minh bạch; kiểm tra chuyên sâu về lưu trữ khóa, cách ly quyền, kiểm tra đầu vào; rà soát lại kiểm soát truy cập máy chủ và quy trình phát hành mã; thêm xác nhận hai bước hoặc giới hạn cho các thao tác quan trọng để giảm thiểu thiệt hại.
Người dùng cuối cần: cân nhắc hạn chế quy mô vốn trong robot, rút lợi nhuận kịp thời, bật xác thực hai yếu tố của Telegram, quản lý thiết bị độc lập để phòng ngừa. Trước khi dự án đưa ra cam kết an toàn rõ ràng, tốt nhất nên chờ đợi, tránh bổ sung vốn.
六、Kết luận
Sự cố của Polycule một lần nữa nhắc nhở chúng ta rằng: khi trải nghiệm giao dịch bị rút ngắn thành một câu lệnh trò chuyện, các biện pháp an ninh cũng phải được nâng cấp đồng bộ. Trong thời gian ngắn, robot giao dịch Telegram vẫn sẽ là cổng vào dự đoán thị trường và Meme coin phổ biến, nhưng lĩnh vực này cũng sẽ tiếp tục là nơi săn mồi của kẻ tấn công. Chúng tôi khuyên các dự án hãy xem an ninh như một phần của sản phẩm, công khai tiến trình cho người dùng; người dùng cũng nên cảnh giác, đừng coi các phím tắt trò chuyện như quản lý tài sản không rủi ro.
Bài viết liên quan
Phantom Wallet gặp sự cố nghiêm trọng! Trong thời gian airdrop, giá token bị sai lệch, số dư về 0, người dùng bực tức chỉ trích “bồi thường thiệt hại”
Ví Phantom trong hệ sinh thái Solana đã gặp gián đoạn dịch vụ trong thời gian diễn ra đợt airdrop, khiến giá token và số dư tài khoản hiển thị bất thường, ảnh hưởng đến giao dịch của người dùng. Một số người dùng vì vậy đã bị thiệt hại và yêu cầu bồi thường. Các chuyên gia an ninh cảnh báo có rủi ro bị tấn công lừa đảo (phishing) và khuyến nghị người dùng xác minh dữ liệu trên chuỗi. Mặc dù sự cố đã được khắc phục, nhưng khủng hoảng niềm tin vẫn cần theo dõi. Sự kiện lần này đã làm nổi bật những thách thức của ví tự quản (self-custody) về độ ổn định hệ thống và trải nghiệm người dùng.
区块客10giờ trước
Một CEX cung cấp điều động tạm thời cho nhân viên tại UAE để ứng phó với tác động của xung đột ở Trung Đông
Do ảnh hưởng của tình hình Trung Đông, một CEX nào đó đã đưa ra lựa chọn cho nhân viên tại Các Tiểu vương quốc Ả Rập Thống nhất về việc tạm thời chuyển nơi làm việc đến Hồng Kông, Tokyo và các địa điểm khác. Mặc dù nhiều nhân viên chọn ở lại UAE, nhưng hoạt động kinh doanh của công ty vẫn diễn ra bình thường. Động thái này nhằm hỗ trợ cho nhân viên. Đồng thời, xung đột ở Trung Đông đã ảnh hưởng đến nhiều hoạt động và kế hoạch hội chợ, triển lãm liên quan đến lĩnh vực mã hóa.
GateNews04-11 13:11
Ví Phantom gặp sự cố nghiêm trọng! Trong giai đoạn airdrop, giá coin bị rối loạn, số dư về 0, người dùng bực tức chỉ trích “đền tiền”
Ví Phantom trong hệ sinh thái Solana đã xảy ra gián đoạn dịch vụ trong thời gian diễn ra airdrop, khiến giá token và số dư tài khoản hiển thị bất thường, ảnh hưởng đến giao dịch của người dùng. Một số người dùng vì vậy đã bị thiệt hại và yêu cầu được bồi thường. Các chuyên gia an ninh cảnh báo có rủi ro bị tấn công lừa đảo (phishing) và khuyên người dùng xác minh dữ liệu trên chuỗi. Mặc dù sự cố đã được khắc phục, nhưng cuộc khủng hoảng niềm tin vẫn cần được theo dõi. Sự kiện lần này đã làm nổi bật những thách thức của ví tự quản (self-custody) đối với độ ổn định hệ thống và trải nghiệm sử dụng.
区块客04-11 05:50
Luật chuyên ngành của Đài Loan sẽ cấm rút tiền USDT? Kế toán ẩn danh đăng bài gây hoang mang, sự thật—xem một lần cho rõ
Gần đây, trên mạng xuất hiện những phát ngôn do một cá nhân ẩn danh tự xưng là kế toán đưa ra, cho rằng dự thảo mới được Đài Loan thông qua về “Luật Dịch vụ Tài sản ảo” sẽ cấm lưu thông Tether (USDT) và đã gây ra hoang mang. Để đáp lại nhận định này, Tổng biên tập của “Thành phố Crypto” là Max cho biết việc diễn giải các quy định trong phát ngôn này quá bi quan, đồng thời nhấn mạnh rằng mục đích của dự thảo là xây dựng cơ chế tuân thủ chứ không phải triệt tiêu toàn diện. Bài viết kêu gọi công chúng hãy đối mặt với các bài viết gây hoảng sợ trong cộng đồng một cách lý trí, nên chọn các bên kinh doanh hợp pháp để thực hiện giao dịch tiền mã hóa nhằm tránh rủi ro về vốn và lừa đảo.
区块客04-11 05:50
Một CEX trong năm nay đã chứng kiến vốn hóa giảm hơn 50% và sa thải 30%, hiện đang cân nhắc chuyển khoản vay của người sáng lập thành vốn cổ phần
Một sàn giao dịch tiền mã hóa có vốn hóa giảm hơn 50%, cắt giảm 30% nhân sự và đang cân nhắc đề nghị yêu cầu người sáng lập giảm miễn khoản vay nhiều trăm triệu đô la. Năm ngoái lỗ 585 triệu đô la, dự định rút khỏi nhiều thị trường, các lãnh đạo từ chức, và hai anh em Winklevoss vẫn chưa lên tiếng liệu có ủng hộ phương án đó hay không.
GateNews04-11 03:17
Ví Phantom gặp sự cố nghiêm trọng! Trong thời gian diễn ra đợt Airdrop, giá token bị rối loạn, số dư về 0, người dùng bức xúc mắng “bồi thường tiền”
Ví Phantom trong hệ sinh thái Solana đã gặp gián đoạn dịch vụ trong thời gian diễn ra đợt airdrop, khiến giá token và số dư tài khoản hiển thị bất thường, ảnh hưởng đến giao dịch của người dùng. Một số người dùng vì vậy đã chịu thiệt hại, yêu cầu bồi thường. Các chuyên gia an ninh cảnh báo có rủi ro tấn công lừa đảo (phishing) và khuyên người dùng xác minh dữ liệu trên chuỗi. Mặc dù sự cố đã được khắc phục, nhưng cuộc khủng hoảng niềm tin vẫn cần theo dõi. Sự kiện lần này nêu bật những thách thức của ví tự quản trong tính ổn định hệ thống và trải nghiệm sử dụng.
区块客04-10 13:34
