Polymarket에서 최고급 트레이딩 봇 Polycule이 공격을 받았다. 예측 시장 프로젝트는 어떻게 보안 방어를 잘 할 수 있을까?
1월 13일, Polycule 공식은 자사의 Telegram 거래 로봇이 해킹당했으며 약 23만 달러의 사용자 자산이 손실되었다고 확인했다. 팀은 X에서 로봇을 중단했으며 보상을 약속했다고 밝혔다. 이 조치는 Telegram 거래 봇의 안전성에 대한 업계의 논의를 촉발했다. 기능 설계를 통해 볼 때, 이는 단순한 실수가 아니라 거래 로봇 모델 하에서 장기적으로 저평가된 시스템적 위험이 집중적으로 드러난 것이다.一、사건 속기
2026년 1월 13일, Polycule 공식 확인 Telegram 거래 봇이 해킹 공격을 받아 약 23만 달러의 사용자 자금이 도난당했습니다. 팀은 X에서 신속하게 업데이트를 진행했으며, 봇은 즉시 오프라인 상태가 되었고, 수정 패치가 신속하게 추진되었으며, Polygon 측의 영향을 받은 사용자에게 보상이 이루어질 것이라고 약속했습니다. 어젯밤부터 오늘까지 몇 차례의 공지가 Telegram 거래 봇 분야의 보안 논의를 지속적으로 뜨겁게 만들고 있습니다.
二、Polycule 어떻게 작동하는가
Polycule의 위치는 매우 명확합니다: 사용자가 Telegram에서 Polymarket의 시장 탐색, 포지션 관리 및 자금 조정을 완료할 수 있도록 합니다. 주요 모듈은 다음과 같습니다:
계좌 개설 및 패널: `/start`는 자동으로 Polygon 지갑을 할당하고 잔액을 표시하며, `/home` 및 `/help`는 진입 및 명령 설명을 제공합니다.
시세 및 거래: `/trending`、`/search`、직접 Polymarket URL을 붙여넣으면 시장 세부 정보를 가져올 수 있습니다; 봇은 시가/지정가 주문, 주문 취소 및 차트 조회를 제공합니다.
지갑 및 자금: `/wallet`는 자산 조회, 자금 인출, POL/USDC 교환, 개인 키 내보내기를 지원합니다; `/fund`는 충전 프로세스를 안내합니다.
크로스 체인 브릿지: 깊이 통합된 deBridge는 사용자가 Solana에서 자산을 브릿지할 수 있도록 도와주며, 기본적으로 2% SOL을 POL로 교환하여 Gas에 사용합니다.
고급 기능: `/copytrade`는 복사 거래 인터페이스를 열어주며, 백분율, 고정 금액 또는 사용자 정의 규칙에 따라 따라갈 수 있으며, 일시 중지, 반대 거래, 전략 공유 등의 확장 기능을 설정할 수 있습니다.
Polycule Trading Bot은 사용자와 대화하고 명령을 해석하며, 백그라운드에서 키를 관리하고 거래에 서명하며 체인 상의 이벤트를 지속적으로 모니터링합니다.
사용자가 `/start`를 입력하면 백그라운드에서 자동으로 Polygon 지갑을 생성하고 개인 키를 보관하며, 이후 `/buy`、`/sell`、`/positions` 등의 명령을 계속해서 보내어 조회, 주문, 포지션 관리 등의 작업을 완료할 수 있습니다. 봇은 Polymarket의 웹 링크를 해석하여 직접 거래 진입점을 반환할 수 있습니다. 크로스 체인 자금은 deBridge를 통해 연결되며, SOL을 Polygon으로 브릿지할 수 있도록 지원하고 기본적으로 2% SOL을 POL로 교환하여 후속 거래의 Gas를 지불합니다. 더 고급 기능으로는 Copy Trading, 지정가 주문, 목표 지갑 자동 모니터링 등이 있으며, 서버가 장시간 온라인 상태를 유지하고 지속적으로 거래에 서명해야 합니다.
三、Telegram 거래 봇의 공통 위험
편리한 채팅식 상호작용 뒤에는 몇 가지 피하기 어려운 보안 단점이 있습니다:
첫째, 거의 모든 봇은 사용자 개인 키를 자신의 서버에 저장하며, 거래는 백그라운드에서 직접 서명됩니다. 이는 서버가 해킹되거나 운영 관리 부주의로 데이터가 유출될 경우, 공격자가 대량으로 개인 키를 내보내어 모든 사용자의 자금을 한 번에 가져갈 수 있음을 의미합니다. 둘째, 인증은 Telegram 계정 자체에 의존하므로, 사용자가 SIM 카드 해킹이나 장치 분실을 당하면 공격자는 복구 문구를 알지 못해도 봇 계정을 제어할 수 있습니다. 마지막으로, 로컬 팝업 확인 단계가 없습니다------전통적인 지갑은 각 거래마다 사용자가 직접 확인해야 하지만, 봇 모드에서는 백그라운드 로직에 오류가 발생하면 시스템이 사용자가 전혀 모르는 사이에 자동으로 돈을 이체할 수 있습니다.
四、Polycule 문서에서 드러난 고유 공격면
문서 내용을 종합하면, 이번 사건과 미래의 잠재적 위험은 주로 다음과 같은 점에 집중될 것으로 추측됩니다:
개인 키 내보내기 인터페이스 : `/wallet` 메뉴는 사용자가 개인 키를 내보낼 수 있도록 허용하며, 이는 백그라운드에서 가역 키 데이터가 저장되고 있음을 나타냅니다. SQL 인젝션, 무단 인터페이스 또는 로그 유출이 발생할 경우, 공격자는 내보내기 기능을 직접 호출할 수 있으며, 이는 이번 도난 사건과 높은 일치를 보입니다.
URL 해석이 SSRF를 유발할 수 있음 : 봇은 사용자가 Polymarket 링크를 제출하여 시세를 얻도록 장려합니다. 입력이 엄격하게 검증되지 않으면, 공격자는 내부 네트워크 또는 클라우드 서비스 메타데이터를 가리키는 링크를 위조하여 백그라운드가 "함정에 빠지게" 하여 자격 증명이나 구성을 추가로 탈취할 수 있습니다.
Copy Trading의 모니터링 로직 : 복사 거래는 봇이 목표 지갑의 동작을 동기화하여 따라간다는 것을 의미합니다. 모니터링되는 이벤트가 위조될 수 있거나 시스템이 목표 거래에 대한 보안 필터링이 부족하면,
위험 경고 위험 경고
