اختراق بوت بوليكول يكشف عن ثغرات حرجة: لماذا تظل بوتات التداول على تيليجرام أهدافًا عالية المخاطر

الخسارة التي بلغت 230,000 دولار والتي هزت أسواق التنبؤات

في 13 يناير 2026، تعرض روبوت التداول Polycule لاختراق كبير—تمكن المهاجمون من استخراج حوالي 230,000 دولار من مستخدمين على شبكة Polygon. لم تكن الحادثة مجرد خلل بسيط؛ بل كانت تمثل بالضبط نوع الثغرة المنهجية التي حذر منها باحثو الأمان منذ زمن طويل في نظام بوتات Telegram. خلال ساعات، أوقف Polycule الروبوت عن العمل ووجه فريقه لتطوير تصحيح، على الرغم من أن الضرر بثقة المستخدمين كان قد حدث بالفعل. لقد رسخت هذه الحادثة حقيقة صعبة: الراحة في التداول تأتي بتكلفة أمنية عالية.

كيف جعل Polycule التداول متاحًا (وأين أنشأ تعرضًا)

وضع Polycule نفسه كجسر بين واجهة الدردشة السلسة في Telegram وتداول التنبؤات في Polymarket. كان جاذبه بسيطًا—يمكن للمستخدمين إدارة المراكز، والتحقق من الأرصدة، وتنفيذ الصفقات دون مغادرة تطبيق المراسلة الخاص بهم. تضمن بنية الروبوت:

• إنشاء محفظة عند الاستخدام الأول - عند تفعيل المستخدمين /start، أنشأ النظام تلقائيًا محفظة Polygon وخزن مفتاحها الخاص على الخادم
• التفاعل المباشر مع السوق - أوامر مثل /trending و /search سحبت بيانات Polymarket الحية؛ ولصق روابط URLs أدى إلى تحليل السوق الفوري
• إدارة الأموال - وظيفة /wallet سمحت للمستخدمين بعرض الأصول، وتنفيذ عمليات سحب، والأهم من ذلك، تصدير المفاتيح الخاصة مباشرة
• تكامل جسر عبر السلاسل - الشراكة مع deBridge مكنت من تحويلات Solana إلى Polygon مع تحويل تلقائي بنسبة 2% لـ SOL لرسوم الغاز
• آليات النسخ التداولي - يمكن للمستخدمين استنساخ الصفقات من محافظ مستهدفة بنسبة مئوية، أو مبلغ ثابت، أو محفزات مخصصة

كل ميزة أضافت راحة، لكنها أيضًا وسعت سطح الهجوم. كان دور الروبوت يعني أنه كان يحمل المفاتيح باستمرار، ويفسر المدخلات الخارجية، ويوقع المعاملات في الخلفية، ويستمع للأحداث على السلسلة—كل ذلك بدون خطوات تأكيد محلية للمستخدم.

الثغرات الهيكلية الثلاثة وراء هذا الهجوم

1. المفاتيح الخاصة المخزنة والمدارة على الخادم

لا تزال هذه الثغرة الأساسية. تطبيقات المحافظ التقليدية تحتفظ بالمفاتيح الخاصة على أجهزة المستخدمين؛ وPolycule (مثل معظم بوتات Telegram) خزنها مركزيًا. المبرر: تمكين التداول بدون كلمة مرور وسلس عبر Telegram. المقايضة: تعرض خادم واحد مخترق للخطر بشكل جماعي.

تشير حادثة Polycule بقوة إلى أن المهاجمين استغلوا هذه البنية. إذا حصلوا على وصول إلى الخلفية عبر حقن SQL، أو تكوينات خاطئة، أو استغلالات API، فيمكنهم استدعاء نفس وظيفة /wallet للتصدير التي يعتمد عليها المستخدمون الشرعيون—لكن هذه المرة لاستخراج جميع المفاتيح المخزنة دفعة واحدة.

2. التوثيق مرتبط تمامًا بسيطرة حساب Telegram

يتم التوثيق عبر Telegram نفسه—لا توجد عبارات استرداد، ولا تأكيدات على الأجهزة. هذا يخلق خطرًا دقيقًا ولكنه خطير: إذا قام المهاجم بعملية استبدال بطاقة SIM أو حصل على وصول للجهاز، يمكنه السيطرة على حساب الروبوت دون الحاجة إلى كلمة تذكارية. ثم يصبح الروبوت آلة سرقة ذاتية الخدمة للمهاجم.

3. التنفيذ الصامت بدون تأكيد المستخدم

المحافظ التقليدية (MetaMask، Ledger) تتطلب موافقة صريحة لكل معاملة. بطبيعة الحال، تتجاوز بوتات Telegram هذه الخطوة—الروبوت يقرر وينفذ. هذا يعني أن خلل في المنطق الخلفي، أو تفاعل عقد خبيث، أو تزوير أحداث يمكن أن يفرغ الأموال دون أن يرى المستخدم مربع تأكيد. يصبح النسخ التداولي أكثر خطورة: إذا تم تسميم آلية الاستماع أو زورت المحافظ المستهدفة الأحداث، قد يُقاد المتابعون إلى عمليات سحب احتيالية أو استغلالات.

نقاط الهجوم المحددة التي تكشف عنها حادثة Polycule

إساءة استخدام واجهة تصدير المفاتيح الخاصة - قدرة أمر /wallet على تصدير المفاتيح عند الطلب تشير إلى وجود مادة مفاتيح قابلة للعكس في قاعدة البيانات. قد تؤدي حقن SQL، أو تجاوزات الأذونات، أو سرقة بيانات الاعتماد المستهدفة لوحدات الإدارة إلى كشف هذه الواجهة.

تحليل URL يؤدي إلى استغلالات على الخادم - شجع Polycule المستخدمين على تقديم روابط Polymarket لتفاصيل السوق. قد تسمح قلة التحقق من صحة المدخلات للمهاجمين بصنع روابط تشير إلى عناوين IP داخلية، أو نقاط بيانات سحابية، أو حمولات مضمنة، مما يؤدي إلى سرقة بيانات اعتماد أو مفاتيح API.

إشارات نسخ تداول مزورة - إذا استمع الروبوت للأحداث على السلسلة بدون التحقق الصارم من المصدر، يمكن للمهاجمين بث أنشطة محافظ مزيفة، مما يسبب للمتابعين تنفيذ صفقات غير مقصودة ضد عقود خبيثة.

منطق تحويل العملات غير الآمن - يتضمن التحويل التلقائي من SOL إلى POL عبر الجسر انزلاق سعر، أوثوري، وتصاريح. قد يؤدي نقص التحقق من المعلمات إلى تضخيم الخسائر أو سوء تخصيص ميزانيات الغاز، مما يزيد الضرر المالي.

ماذا يعني هذا للمستخدمين الآن

إجراءات فورية:

• لا تثق في روبوت واحد بمبالغ كبيرة أثناء تعافيه
• اعتبر روبوتات التداول على Telegram أدوات راحة للمراكز الصغيرة فقط، وليس مخازن ثروات
• فعّل التوثيق الثنائي على Telegram واستخدم جهازًا مخصصًا لحسابك
• افترض أن أي روبوت يخزن مفتاحك الخاص على الخادم هو خطر أمني، بغض النظر عن سمعة المشروع
• سحب الأرباح بشكل متكرر بدلاً من تراكمها

قرارات متوسطة المدى:

• انتظر تدقيقات تقنية عامة والتزامات أمنية مفصلة قبل إعادة إيداع رأس المال
• تحقق من أن فريق الروبوتات طبق تأكيدات ثانوية، حدود سحب، وتحكمات وصول متعددة المستويات
• تحقق مما إذا كان المشروع قد أطلق المصادر المفتوحة للمكونات الرئيسية أو دعا مراجعات أمنية مستقلة

ما يجب أن تفعله فرق المشاريع لاستعادة الثقة

بالإضافة إلى الاعتذار وتعويض المستخدمين المتضررين، يحتاج المطورون إلى:

• تكليف تدقيقات تقنية كاملة تركز على تخزين المفاتيح، عزل الأذونات، التحقق من المدخلات، ومنطق التفاعل عبر السلاسل قبل العودة للعمل مرة أخرى
• تنفيذ تحكمات متعددة المستويات - تحديد حدود سحب يومية، طلب تأكيدات ثانوية للصفقات الكبيرة، استخدام محافظ أجهزة للتوقيع على الخادم
• إعادة تصميم التوثيق - الابتعاد عن التوثيق القائم على Telegram فقط؛ إدخال خيار التوثيق الثنائي للعمليات الحساسة
• عزل تفاعلات deBridge - إضافة تأكيد صريح من المستخدم لعمليات التبادل عبر السلاسل، وعرض الرسوم والانزلاق بوضوح
• نشر التقدم الأمني - مشاركة ما تم إصلاحه، وما التدقيقات التي أُجريت، وما المراقبة الحالية

النمط الأوسع: لماذا تجذب بوتات Telegram المهاجمين

أصبحت بوتات Telegram بوابة الدخول إلى تداول العملات الرقمية—تخفض حاجز الدخول بشكل كبير. لكنها أيضًا مصائد مركزة: اختراق واحد يؤثر على آلاف المستخدمين في آن واحد، ويعلم المهاجمون أن المفاتيح الخاصة غالبًا ما تكون مخزنة مركزيًا. هذا يجعلها هدفًا أكثر جاذبية للمهاجمين المتطورين.

اختراق Polycule من غير المرجح أن يكون الأخير. يجب على المشاريع التي تدخل هذا المجال أن تتعامل مع الأمان ليس كفكرة لاحقة، بل كمتطلب أساسي للمنتج من اليوم الأول. في حين، يجب على المستخدمين أن يحافظوا على شك صحي: الراحة والأمان يتنازعان. المتداول الذي لا يتطلب تأكيدًا أبدًا هو أيضًا مدفوع تلقائيًا إذا تم اختراقه.

توقع أن ينضج سوق التنبؤات وبيئة بوتات Telegram—ولكن أيضًا توقع أن يتطور المهاجمون جنبًا إلى جنب معها.