Autor: ExVul Security, empresa de seguridad Web3
Uno, Resumen del evento
El 13 de enero de 2026, Polycure oficial confirmó que su robot de trading en Telegram fue hackeado, robándose aproximadamente 230,000 dólares en fondos de usuarios. El equipo actualizó rápidamente en X: el robot fue desconectado, se implementaron parches de reparación con rapidez y se comprometió a compensar a los usuarios afectados en Polygon. Desde anoche hasta hoy, varias rondas de anuncios han mantenido en aumento la discusión sobre la seguridad en el sector de los robots de trading en Telegram.
Dos, Cómo funciona Polycule
La posición de Polycule es muy clara: permite a los usuarios completar la navegación por mercados, gestión de posiciones y manejo de fondos en Polymarket a través de Telegram. Los módulos principales incluyen:
Apertura de cuenta y panel: /start asigna automáticamente una billetera Polygon y muestra el saldo, /home y /help ofrecen accesos y explicaciones de comandos.
Información de mercado y trading: /trending, /search, y pegar directamente la URL de Polymarket permiten obtener detalles del mercado; el robot ofrece órdenes de mercado/límite, cancelación de órdenes y visualización de gráficos.
Billetera y fondos: /wallet permite consultar activos, retirar fondos, intercambiar POL/USDC y exportar la clave privada; /fund guía sobre el proceso de recarga.
Puente entre cadenas: integración profunda con deBridge, ayuda a los usuarios a puente de Solana a otros activos, y por defecto deduce un 2% en SOL para convertir en POL para pagar gas.
Funciones avanzadas: /copytrade abre la interfaz de copia de trading, permitiendo seguir operaciones por porcentaje, monto fijo o reglas personalizadas, además de configurar pausas, seguimiento inverso, compartir estrategias y otras funciones extendidas.
El Polycule Trading Bot se encarga de interactuar con los usuarios, interpretar comandos, gestionar claves en segundo plano, firmar transacciones y monitorear eventos en la cadena.
Tras ingresar /start, el sistema genera automáticamente una billetera en Polygon y guarda la clave privada, permitiendo posteriormente enviar comandos como /buy, /sell, /positions para consultar, realizar órdenes y gestionar posiciones. El robot también puede analizar enlaces web de Polymarket y devolver directamente la entrada de trading. Los fondos entre cadenas dependen de la integración con deBridge, que soporta puente de SOL a Polygon, y automáticamente deduce un 2% en SOL para convertir en POL para pagos de gas en futuras transacciones. Funciones más avanzadas incluyen Copy Trading, órdenes limitadas, monitoreo automático de billeteras objetivo, que requieren que el servidor esté en línea por largos periodos y firme transacciones de forma continua.
Tres, Riesgos comunes en los robots de trading en Telegram
Detrás de una interacción conversacional conveniente, existen varias vulnerabilidades de seguridad difíciles de evitar:
Primero, casi todos los robots almacenan las claves privadas de los usuarios en sus servidores, firmando las transacciones en nombre del usuario. Esto significa que si el servidor es comprometido o se filtran datos por negligencia en la operación, los atacantes pueden exportar en masa las claves privadas y robar todos los fondos de los usuarios de una sola vez. En segundo lugar, la autenticación depende de la cuenta de Telegram en sí misma; si el usuario sufre secuestro de SIM o pérdida del dispositivo, el atacante puede controlar la cuenta del robot sin necesidad de conocer la frase semilla. Finalmente, no hay una confirmación emergente local — mientras que en las billeteras tradicionales cada transacción requiere confirmación del usuario, en modo robot, si la lógica del backend tiene fallos, el sistema puede transferir fondos automáticamente sin que el usuario se entere.
Cuatro, Riesgos específicos revelados por la documentación de Polycule
Analizando el contenido de la documentación, se puede inferir que el incidente actual y los riesgos potenciales futuros se concentran en los siguientes puntos:
Interfaz de exportación de claves privadas: /wallet permite a los usuarios exportar sus claves privadas, indicando que el backend almacena datos de claves reversibles. Si existen vulnerabilidades como inyección SQL, interfaces no autorizadas o filtraciones en logs, los atacantes pueden activar directamente la función de exportación, lo que coincide mucho con el escenario del robo.
Posible explotación SSRF en análisis de URLs: el robot anima a los usuarios a enviar enlaces de Polymarket para obtener información de mercado. Si la validación de entrada no es estricta, un atacante puede falsificar enlaces que apunten a redes internas o metadatos en la nube, haciendo que el backend caiga en una trampa y robe credenciales o configuraciones.
Lógica de monitoreo en Copy Trading: copiar operaciones implica que el robot siga en sincronía las acciones de una billetera objetivo. Si los eventos monitoreados pueden ser falsificados o el sistema carece de filtros de seguridad, los usuarios que siguen pueden ser llevados a contratos maliciosos, con fondos bloqueados o incluso robados directamente.
Puentes entre cadenas y procesos automáticos de cambio de moneda: la conversión automática del 2% de SOL en POL involucra tasas de cambio, deslizamiento, oráculos y permisos de ejecución. Si estos parámetros no se validan rigurosamente en el código, los hackers pueden amplificar pérdidas en el puente o transferir el presupuesto de gas. Además, si la validación de los recibos de deBridge es deficiente, puede haber riesgos de recargas falsas o entradas duplicadas.
Cinco, Recomendaciones para el equipo del proyecto y los usuarios
Lo que puede hacer el equipo del proyecto incluye: entregar un análisis técnico completo y transparente antes de reanudar el servicio; realizar auditorías específicas en almacenamiento de claves, aislamiento de permisos y validación de entradas; revisar los controles de acceso en servidores y el proceso de publicación de código; introducir confirmaciones secundarias o límites en operaciones clave para reducir daños adicionales.
Los usuarios finales deben considerar limitar el monto de fondos en el robot, retirar ganancias oportunamente y activar medidas de protección como la doble verificación en Telegram y gestión en dispositivos independientes. Antes de que el equipo brinde garantías de seguridad claras, es recomendable esperar y no añadir fondos adicionales.
Seis, Epílogo
El incidente de Polycule nos recuerda una vez más: cuando la experiencia de trading se reduce a un comando de chat, las medidas de seguridad también deben actualizarse. Los robots de trading en Telegram seguirán siendo una vía popular para mercados predictivos y memes en el corto plazo, pero este campo también será un objetivo constante para los atacantes. Recomendamos a los proyectos que integren la seguridad como parte del producto y compartan avances con los usuarios; los usuarios, por su parte, deben mantenerse alerta y no confiar en atajos de chat como gestores de activos sin riesgos.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
RAVE 代币两周暴涨 110 倍,随后在市场操纵指控中暴跌 98%
Gate News 消息,4月27日——RAVE,RaveDAO (基于 Web3 的文化社区项目的原生代币),在两周内暴涨 110 倍,随后在 4月19-20日两天内又暴跌 98%,引发了人们对韩国臭名昭著的 2007 年 Lubo 股票操纵丑闻的对比。
4月18日,RAVE 在 CoinGecko 上达到了 ,但这场戏剧性的暴涨缺乏明确的基本面原因,引发了加密社区的审视。该代币已在多家主要全球加密交易所上线,吸引了在国际平台交易的国内用户。然而在 4月19日,链上分析师 JackXBT 发布了研究结果:由 9 个钱包控制了 RAVE 总供应量的 95%,其中 6 个钱包仅持有 96.6%。JackXBT 指出,暴涨发生在 RAVE 上线之后,并标记了与团队相关钱包之间及与中心化交易所之间的可疑交易活动,提供 10,000 美元悬赏以换取操纵的确凿证据。
在 JackXBT 的分析之后,各大交易所宣布将调查潜在的市场操纵行为,进而引发代币的急剧崩塌。Blob 的 Web3 负责人宋昌锡(Song Chang-seok)在接受 Digital Asset 采访时表示,尽管集中钱包持有曾导致过价格操纵,但在短短两天内先出现 110 倍行情、随后又崩跌 98% 的情况前所未有。他将该事件比作 Lubo 丑闻:当时股票操纵者在检察官介入前人为抬高股价,随后股价崩塌。
专家强调一个关键问题:链上数据清楚透明地显示了钱包集中度,但全球交易所却未能在上线前检测或阻止这种操纵行为。与传统股票市场不同,加密资产缺乏统一的监管监督——项目起源于海外,交易所从避税天堂或多个司法辖区运营,用户遍布全球。律师 Gary Dwell 强调,主要交易所需要共同标准,以便在上线前后核实代币分配、内幕钱包以及做市商活动,并且对可疑交易进行即时披露,以防止未来发生类似 RAVE 的事件。
GateNewshace2h
El CEO de la bolsa de criptomonedas polaca Zondacrypto huye a Israel mientras $97M la investigación por fraude se intensifica
Los fiscales polacos han abierto una investigación por fraude contra la casa de cambio de criptomonedas Zondacrypto después de que el director ejecutivo Przemysław Kral se marchara a Israel, donde su ciudadanía podría impedir la extradición, dejando hasta 30.000 usuarios con pérdidas vinculadas a una billetera fría inaccesible que contiene 4.500
Coinpedia04-25 21:33
El token TRADOOR cae un 90% en 30 minutos en medio de sospechas de manipulación de precios y wash trading
Mensaje de Gate News, 25 de abril — El token TRADOOR registró una brusca caída del 90% de su precio en 30 minutos a las 2:00 AM de hoy, según el analista on-chain Specter. El token había subido hasta un 900% desde marzo de 2026 antes del repentino colapso, lo que genera sospechas de manipulación de precios y operaciones coordinadas
GateNews04-25 13:05
Aave, Kelp, LayerZero buscan el lanzamiento de Arbitrum de $71M ETH congelado
Aave Labs, Kelp DAO, LayerZero, EtherFi y Compound presentaron el sábado por la mañana una AIP Constitucional en el foro de Arbitrum solicitando que la DAO de la red libere aproximadamente $71 millones en ETH congelado para respaldar los esfuerzos de recuperación de rsETH, según The Block. La propuesta busca la liberación de 30,765.67 ETH
CryptoFrontier04-25 07:07
41 secuestros de cripto en Francia en 3,5 meses; Durov culpa a las filtraciones de datos
Mensaje de Gate News, 24 de abril — Francia ha registrado 41 secuestros de titulares de criptomonedas en apenas 3,5 meses de 2026, según Pavel Durov, fundador de Telegram, quien atribuyó el aumento a filtraciones generalizadas de datos. Durov destacó en una publicación de X que los datos personales sensibles —incluida información en poder de las autoridades fiscales y procedente de una gran filtración en la Agencia Francesa para Documentos Seguros— ha expuesto aproximadamente los nombres, direcciones y números de teléfono de 19 millones de personas, lo que hace que los titulares de activos digitales sean objetivos más fáciles.
Las autoridades francesas confirmaron que se han registrado más de 40 secuestros de criptomonedas o intentos de abducción desde enero de 2026, lo que supone un fuerte aumento frente a aproximadamente 30 casos en 2025. Según Philippe Chadrys, de la policía judicial de Francia, el modus operandi y los métodos de selección varían, y muchas operaciones están dirigidas por redes que operan desde el extranjero. Los incidentes van desde abducciones de corta duración hasta casos violentos en los que hay tortura y exigencias de rescate. En un caso reciente, una mujer y su hijo de 11 años fueron secuestrados en Borgoña y posteriormente liberados tras una operación policial de gran escala. En otro caso en Anglet, los sospechosos secuestraron por error a las personas equivocadas antes de ser arrestados. En 2025, el destacado directivo de la industria cripto David Balland fue secuestrado y le cortaron un dedo antes de que lo rescataran.
Los fiscales franceses ya han imputado a 88 personas en relación con secuestros vinculados a las criptomonedas, incluidos menores en al menos una docena de casos. Durov advirtió que ampliar el acceso del gobierno a identidades digitales y comunicaciones cifradas podría empeorar la situación si los sistemas se ven comprometidos, aunque su afirmación de que los funcionarios fiscales venden directamente los datos no ha sido verificada.
La crisis de exposición de datos se extiende más allá de los secuestros. Los grupos franceses de protección de datos informan de millones de registros comprometidos en múltiples filtraciones que afectan a servicios públicos y empresas privadas. Según Seb, presidente de la Federación Francesa para la Protección de Datos, Francia está a punto de convertirse en el segundo país más hackeado del mundo en 2026, con más de 300 servicios franceses afectados, 23 millones de cuentas comprometidas y más de 250 millones de registros de datos expuestos. France Titres ANTS por sí solo registró más de 11,7 millones de cuentas expuestas, mientras que la Agencia Estatal de Pagos y Servicios filtró datos bancarios y números de la seguridad social de millones de ciudadanos franceses.
Los secuestros vinculados a criptomonedas suelen seguir un patrón: las víctimas son identificadas como poseedoras de activos digitales, son secuestradas y presionadas para transferir fondos bajo coacción. A diferencia de las cuentas bancarias tradicionales, las carteras cripto pueden accederse instantáneamente si se revelan claves privadas o contraseñas, lo que las convierte en objetivos atractivos para la extorsión. Mientras tanto, Bitcoin subió casi 10% en los últimos 30 días, cotizando a $77,601 al momento de publicarse la nota, mientras que Ethereum cayó 5% durante la semana, cotizando a $2,315.
GateNews04-24 23:11
La bolsa Zondacrypto enfrenta acusaciones de desvío de 350 millones de dólares, el director ejecutivo niega públicamente
Uno de los mayores exchanges de criptomonedas de Polonia, Zondacrypto, el CEO Przemysław Kral hizo una declaración pública el 16 de abril en redes sociales indicando que la plataforma no podía acceder a una billetera que contiene 4,503 bitcoins, con un valor actual de más de 350 millones de dólares. Kral publicó la dirección de la billetera implicada para refutar las acusaciones de desvío, pero dicha divulgación desencadenó de inmediato un gran volumen de retiros.
MarketWhisper04-24 02:59
