Polymarketのトップクラス取引ボットPolyculeが攻撃を受け、予測市場プロジェクトはどのように安全対策を講じるべきか？

一、事件の速記

2026年1月13日、Polycule公式はそのTelegram取引ボットがハッキング攻撃に遭い、約23万ドルのユーザー資金が盗まれたことを確認しました。チームはXで迅速に更新を行い、ボットは直ちに停止され、修正パッチが迅速に進められており、Polygon側の影響を受けたユーザーは補償を受けると約束しました。昨夜から今日にかけての数回の発表により、Telegram取引ボット分野におけるセキュリティ議論が活発化しています。

二、Polyculeの仕組み

Polyculeの立ち位置は明確です：ユーザーがTelegram内でPolymarketのマーケット閲覧、ポジション管理、資金移動を完了できるようにすることです。主なモジュールは以下の通りです：

口座開設とダッシュボード：`/start`は自動的にPolygonウォレットを割り当て残高を表示し、`/home`、`/help`はエントリーポイントとコマンド説明を提供します。

相場情報と取引：`/trending`、`/search`、Polymarket URLの直接貼り付けにより、いずれもマーケット詳細を取得できます。ボットは成行/指値注文、注文キャンセル、チャート表示を提供します。

ウォレットと資金：`/wallet`は資産確認、資金引出し、POL/USDC交換、秘密鍵のエクスポートをサポートします。`/fund`は入金手順を案内します。

クロスチェーンブリッジ：deBridgeと深く統合されており、ユーザーがSolanaから資産をブリッジするのを支援し、デフォルトで2%のSOLをガス代としてPOLに交換します。

高度な機能： `/copytrade`はコピートレードインターフェースを開き、パーセンテージ、固定額、またはカスタムルールに基づいてフォロー取引が可能で、一時停止、逆フォロー取引、戦略共有などの拡張機能も設定できます。

Polycule Trading Botはユーザーとの対話、コマンド解析を担当し、バックエンドでは鍵の管理、取引の署名、オンチェーンイベントの継続的な監視を行います。

ユーザーが `/start` を入力すると、バックエンドは自動的にPolygonウォレットを生成し秘密鍵を保管します。その後、`/buy`、`/sell`、`/positions`などのコマンドを送信して、相場確認、注文、ポジション管理などの操作を完了できます。ボットはPolymarketのウェブリンクも解析し、直接取引エントリーポイントを返します。クロスチェーン資金はdeBridgeの統合に依存し、SOLをPolygonにブリッジすることをサポートし、デフォルトで2%のSOLを引き出し、後続の取引でガス代として支払うためのPOLに交換します。より高度な機能には、コピートレード、指値注文、ターゲットウォレットの自動監視などが含まれ、サーバー側の長時間のオンライン稼働と継続的な取引の代理署名が必要です。

三、Telegram取引ボットに共通するリスク

便利なチャット式インタラクションの裏側には、回避が難しいいくつかのセキュリティ上の弱点があります：

まず、ほとんどすべてのボットはユーザーの秘密鍵を自社サーバーに保管し、取引はバックエンドが直接代理署名します。これは、サーバーが侵害されたり、運用ミスでデータが漏洩したりした場合、攻撃者が秘密鍵を一括エクスポートし、すべてのユーザーの資金を一度に持ち去ることができることを意味します。次に、認証はTelegramアカウント自体に依存しており、ユーザーがSIMカードジャッキングや端末紛失に遭った場合、攻撃者はリカバリーフレーズを把握することなくボットアカウントを制御できます。最後に、ローカルでのポップアップ確認というステップがありません。従来のウォレットでは各取引にユーザー自身の確認が必要ですが、ボットモードでは、バックエンドのロジックに不備があれば、システムはユーザーが全く知らないうちに自動的に資金を送金してしまう可能性があります。

四、Polyculeドキュメントから読み取れる特有の攻撃対象

ドキュメントの内容を踏まえると、今回の事件と将来の潜在的なリスクは主に以下の点に集中していると推測されます：

秘密鍵エクスポートインターフェース：`/wallet`メニューはユーザーが秘密鍵をエクスポートすることを許可しており、バックエンドが可逆的な鍵データを保存していることを示しています。SQLインジェクション、未承認インターフェース、またはログ漏洩が存在する場合、攻撃者はエクスポート機能を直接呼び出すことができ、今回の盗難事件のシナリオと高い一致が見られます。 

URL解析がSSRFを引き起こす可能性：ボットはユーザーにPolymarketリンクを提出して相場情報を取得することを推奨しています。入力が厳密に検証されていない場合、攻撃者は内部ネットワークやクラウドサービスのメタデータを指すリンクを偽造し、バックエンドに積極的に「罠」を踏ませ、さらに認証情報や設定を盗むことができます。

コピートレードの監視ロジック：コピートレードは、ボットがターゲットウォレットの操作に同期して追随することを意味します。監視されるイベントが偽造可能である場合、またはシステムがターゲット取引に対する安全なフィルタリングを欠いている場合、フォロートレードユーザーは悪意のあるコントラクトに引き込まれ、資金がロックされたり、直接引き抜かれたりする可能性があります。

クロスチェーンと自動通貨交換のプロセス：2%のSOLを自動的にPOLに交換するプロセスは、為替レート、スリッページ、オラクル、実行権限に関与します。コード内でこれらのパラメータの検証が不十分な場合、ハッカーはブリッジング時に為替損失を拡大させたり、ガス予算を移動させたりする可能性があります。また、deBridgeのレシートに対する検証が不十分な場合、偽の入金や二重入金のリスクも生じます。

五、プロジェクトチームとユーザーへのアドバイス

プロジェクトチームができることは以下の通りです：サービス再開前に、完全で透明性のある技術的な振り返りを提供すること。鍵の保管、権限分離、入力検証に対する専門的な監査を実施すること。サーバーアクセス制御とコードリリースプロセスを再構築すること。重要な操作に二段階確認や制限メカニズムを導入し、さらなる被害を軽減すること。

エンドユーザーは、ボット内の資金規模を制限し、利益を適宜引き出し、Telegramの二段階認証、独立した端末管理などの保護手段を優先的に有効にすることを検討すべきです。プロジェクト側が明確なセキュリティ保証を提供するまでは、追加の元本投入を避け、様子を見るのが賢明です。

六、後書き

Polyculeの事故は、取引体験が一つのチャットコマンドに圧縮される時、セキュリティ対策も同様にアップグレードされなければならないことを再認識させました。Telegram取引ボットは、短期的には予測市場やミームコインの人気エントリーポイントであり続けるでしょうが、この分野は引き続き攻撃者の狩場となるでしょう。私たちは、プロジェクト側がセキュリティ構築を製品の一部として捉え、進捗状況をユーザーに公開することを提案します。ユーザーも警戒を怠らず、チャットのショートカットを無リスクの資産管理ツールと見なさないようにすべきです。

私たちExVul Securityは、長期的に取引ボットとオンチェーンインフラストラクチャの攻防研究に焦点を当てており、Telegram取引ボット向けのセキュリティ監査、ペネトレーションテスト、インシデントレスポンスサービスを提供しています。もしあなたのプロジェクトが開発中または公開前の段階にあるなら、潜在的なリスクを実装前に共同で排除するために、いつでもご連絡ください。

私たちExVulについて

ExVulはWeb3セキュリティ企業であり、サービス範囲はスマートコントラクト監査、ブロックチェーンプロトコル監査、ウォレット監査、Web3ペネトレーションテスト、セキュリティコンサルティングと計画立案をカバーしています。ExVulはWeb3エコシステム全体のセキュリティ向上に取り組み、常にWeb3セキュリティ研究の最前線に立っています。