Polymarket의 탑급 트레이딩 봇 Polycule이 공격을 받았으며, 예측 시장 프로젝트는 어떻게 안전을 확보해야 할까?

1. 사건 요약

2026년 1월 13일, Polycule 공식은 자사의 Telegram 거래 봇이 해킹을 당해 약 23만 달러 상당의 사용자 자금이 도난당했다고 확인했습니다. 팀은 X(구 트위터)에서 신속하게 업데이트를 발표했습니다: 봇은 즉시 오프라인으로 전환되었고, 패치 작업이 긴급히 진행 중이며, Polygon 네트워크에서 영향을 받은 사용자들에게 보상이 이루어질 것이라고 약속했습니다. 어제 저녁부터 오늘까지 이어진 여러 차례의 공지로 인해 Telegram 거래 봇 분야의 보안 논의가 뜨거워지고 있습니다.

2. Polycule의 작동 방식

Polycule의 포지셔닝은 명확합니다: 사용자가 Telegram 내에서 Polymarket의 시장 조회, 포지션 관리, 자금 조정을 완료할 수 있도록 하는 것입니다. 주요 모듈은 다음과 같습니다:

계좌 개설 및 대시보드: `/start` 명령어는 자동으로 Polygon 지갑을 할당하고 잔액을 표시하며, `/home`, `/help` 명령어는 진입점과 명령어 설명을 제공합니다.

시세 및 거래: `/trending`, `/search` 명령어 또는 Polymarket URL 직접 붙여넣기를 통해 시장 상세 정보를 가져올 수 있습니다; 봇은 시장가/지정가 주문, 주문 취소 및 차트 보기를 제공합니다.

지갑 및 자금: `/wallet` 명령어는 자산 조회, 자금 인출, POL/USDC 스왑, 개인 키 내보내기를 지원합니다; `/fund` 명령어는 입금 절차를 안내합니다.

크로스체인 브리징: deBridge와의 깊은 통합을 통해 사용자가 Solana에서 자산을 브리징할 수 있도록 하며, 기본적으로 2%의 SOL을 차감하여 POL로 교환해 Gas 비용으로 사용합니다.

고급 기능: `/copytrade` 명령어는 복사 거래 인터페이스를 열며, 백분율, 고정 금액 또는 사용자 정의 규칙에 따라 거래를 복제할 수 있고, 일시 중지, 역방향 복사 거래, 전략 공유 등의 확장 기능을 설정할 수 있습니다.

Polycule Trading Bot은 사용자와의 대화 및 명령어 해석을 담당하며, 백엔드에서 키 관리, 거래 서명 및 온체인 이벤트 지속 모니터링도 수행합니다.

사용자가 `/start`를 입력하면 백엔드에서 자동으로 Polygon 지갑을 생성하고 개인 키를 보관한 후, `/buy`, `/sell`, `/positions` 등의 명령어를 계속 보내 시세 확인, 주문, 포지션 관리 등의 작업을 완료할 수 있습니다. 봇은 또한 Polymarket의 웹페이지 링크를 해석하여 직접 거래 진입점을 반환할 수 있습니다. 크로스체인 자금은 deBridge를 통합하여 지원되며, SOL을 Polygon으로 브리징하고 기본적으로 2%의 SOL을 차감하여 이후 거래의 Gas 비용을 지불하는 데 사용할 POL로 교환합니다. 더 고급 기능으로는 복사 거래, 지정가 주문, 대상 지갑 자동 모니터링 등이 있으며, 이는 서버가 장시간 온라인 상태를 유지하고 지속적으로 거래를 대리 서명해야 합니다.

3. Telegram 거래 봇의 공통적인 위험 요소

편리한 채팅식 상호작용 뒤에는 피하기 어려운 몇 가지 보안 취약점이 있습니다:

첫째, 거의 모든 봇은 사용자의 개인 키를 자체 서버에 저장하고, 거래는 백엔드에서 직접 대리 서명합니다. 이는 서버가 공격을 받거나 운영 부주의로 데이터가 유출되면 공격자가 일괄적으로 개인 키를 추출하여 모든 사용자의 자금을 한 번에 빼앗을 수 있음을 의미합니다. 둘째, 인증은 Telegram 계정 자체에 의존합니다. 사용자가 SIM 카드 하이재킹이나 기기 분실을 당하면 공격자는 시드 구문을 알지 못해도 봇 계정을 제어할 수 있습니다. 마지막으로, 로컬 팝업 확인 단계가 없습니다. 전통적인 지갑은 모든 거래마다 사용자가 직접 확인해야 하지만, 봇 모드에서는 백엔드 로직에 문제가 생기기만 하면 시스템이 사용자도 모르는 사이에 자동으로 자금을 이체할 수 있습니다.

4. Polycule 문서가 드러내는 특정 공격 벡터

문서 내용을 종합해 볼 때, 이번 사건과 향후 잠재적 위험은 주로 다음과 같은 점에 집중될 것으로 추측됩니다:

개인 키 내보내기 인터페이스: `/wallet` 메뉴는 사용자가 개인 키를 내보낼 수 있도록 허용하며, 이는 백엔드가 가역적 키 데이터를 저장하고 있음을 의미합니다. SQL 인젝션, 무단 접근 인터페이스 또는 로그 유출이 존재하면 공격자는 직접 내보내기 기능을 호출할 수 있으며, 이는 이번 도난 사건과 매우 유사한 시나리오입니다. 

URL 파싱이 SSRF를 유발할 가능성: 봇은 사용자가 Polymarket 링크를 제출하여 시세를 얻도록 권장합니다. 입력이 엄격하게 검증되지 않으면 공격자는 내부 네트워크나 클라우드 서비스 메타데이터를 가리키는 위조 링크를 만들어 백엔드가 스스로 '함정'에 빠지게 하여 자격 증명이나 설정을 추가로 탈취할 수 있습니다.

복사 거래의 모니터링 로직: 복사 거래는 봇이 대상 지갑의 작업을 동기화하여 따라간다는 것을 의미합니다. 모니터링되는 이벤트가 위조될 수 있거나 시스템이 대상 거래에 대한 안전 필터링이 부족하면, 복사 거래 사용자가 악성 컨트랙트로 유인되어 자금이 잠기거나 직접 빼앗길 수 있습니다.

크로스체인 및 자동 토큰 스왑 단계: 2%의 SOL을 자동으로 POL로 교환하는 프로세스는 환율, 슬리피지, 오라클 및 실행 권한을 포함합니다. 코드에서 이러한 매개변수에 대한 검증이 엄격하지 않으면 해커가 브리징 시 환전 손실을 확대하거나 Gas 예산을 이전할 수 있습니다. 또한, deBridge 영수증에 대한 검증이 부족하면 가짜 입금 또는 중복 입금의 위험이 발생할 수 있습니다.

5. 프로젝트 팀과 사용자에게 드리는 조언

프로젝트 팀이 할 수 있는 일로는: 서비스 재개 전 완전하고 투명한 기술적 사후 분석을 제공하는 것; 키 저장소, 권한 분리, 입력 검증에 대한 특별 감사를 수행하는 것; 서버 접근 제어 및 코드 배포 프로세스를 재정비하는 것; 핵심 작업에 이차 확인 또는 한도 메커니즘을 도입하여 추가 피해를 줄이는 것 등이 있습니다.

최종 사용자는 봇 내 자금 규모를 통제하고, 수익을 적시에 인출하며, Telegram의 2단계 인증, 독립 기기 관리 등의 보호 수단을 우선적으로 활성화하는 것을 고려해야 합니다. 프로젝트 측이 명확한 보안 약속을 내놓기 전까지는 일단 지켜보며 추가 원금을 투자하지 않는 것이 좋습니다.

6. 후기

Polycule의 사고는 다시 한 번 깨닫게 합니다: 거래 경험이 한 줄의 채팅 명령어로 압축될 때, 보안 조치도 동시에 업그레이드되어야 합니다. Telegram 거래 봇은 단기적으로 여전히 예측 시장과 밈 코인의 인기 진입로가 될 것이지만, 이 분야는 계속해서 공격자들의 사냥터가 될 것입니다. 우리는 프로젝트 측이 보안 구축을 제품의 일부로 간주하고, 동시에 사용자에게 진행 상황을 공개할 것을 권장합니다; 사용자 또한 경계심을 유지하며, 채팅 단축키를 무위험 자산 관리자로 생각해서는 안 됩니다.

우리 ExVul Security는 거래 봇과 온체인 인프라의 공격 및 방어 연구에 오랫동안 집중해 왔으며, Telegram 거래 봇에 대한 보안 감사, 침투 테스트 및 긴급 대응 서비스를 제공할 수 있습니다. 귀하의 프로젝트가 개발 또는 출시 단계에 있다면, 언제든지 저희에게 연락주시기 바랍니다. 함께 잠재적 위험을 사전에 제거합시다.

ExVul 소개

ExVul은 Web3 보안 회사로, 서비스 범위는 스마트 컨트랙트 감사, 블록체인 프로토콜 감사, 지갑 감사, Web3 침투 테스트, 보안 컨설팅 및 계획 수립을 포함합니다. ExVul은 Web3 생태계 전반의 보안성을 향상시키는 데 전념하며, 항상 Web3 보안 연구의 최전선에 서 있습니다.