# 사건 속기

2026년 1월 13일, Polycule 공식 확인 Telegram 거래 봇이 해킹 공격을 받아 약 23만 달러의 사용자 자금이 도난당했습니다. 팀은 X에서 신속하게 업데이트하였으며: 봇은 즉시 오프라인 상태가 되었고, 수정 패치가 신속하게 진행되었으며, Polygon 측의 영향을 받은 사용자에게 보상이 이루어질 것이라고 약속했습니다. 어젯밤부터 오늘까지 몇 차례의 공지가 Telegram 거래 봇의 안전성 논의를 지속적으로 뜨겁게 만들었습니다.

# Polycule은 어떻게 작동하나요

Polycule의 위치는 매우 명확합니다: 사용자가 Telegram에서 Polymarket의 시장 탐색, 포지션 관리 및 자금 조정을 완료할 수 있도록 합니다. 주요 모듈은 다음과 같습니다:

계좌 개설 및 패널: `/start`는 자동으로 Polygon 지갑을 할당하고 잔액을 표시하며, `/home` 및 `/help`는 진입점 및 명령어 설명을 제공합니다.

시세 및 거래: `/trending`, `/search`, Polymarket URL을 직접 붙여넣으면 시장 세부 정보를 가져올 수 있습니다; 봇은 시가/지정가 주문, 주문 취소 및 차트 조회를 제공합니다.

지갑 및 자금: `/wallet`는 자산 조회, 자금 인출, POL/USDC 교환, 개인 키 내보내기를 지원합니다; `/fund`는 충전 프로세스를 안내합니다.

크로스 체인 브릿지: 깊이 통합된 deBridge는 사용자가 Solana에서 자산을 브릿지할 수 있도록 도와주며, 기본적으로 2% SOL을 POL로 교환하여 Gas 비용으로 사용합니다.

고급 기능: `/copytrade`는 복사 거래 인터페이스를 열어주며, 비율, 고정 금액 또는 사용자 정의 규칙에 따라 거래를 따라 할 수 있으며, 일시 정지, 반대 거래, 전략 공유 등의 확장 기능을 설정할 수 있습니다.

Polycule Trading Bot은 사용자와 대화하고 명령어를 해석하며, 백그라운드에서 키를 관리하고 거래에 서명하며 체인 상의 이벤트를 지속적으로 모니터링합니다.

사용자가 `/start`를 입력하면 백그라운드에서 자동으로 Polygon 지갑이 생성되고 개인 키가 보관되며, 이후 `/buy`, `/sell`, `/positions` 등의 명령어를 계속해서 보내어 조회, 주문, 포지션 관리 등의 작업을 완료할 수 있습니다. 봇은 Polymarket의 웹 링크를 해석하여 거래 진입점을 직접 반환할 수 있습니다. 크로스 체인 자금은 deBridge를 통해 연결되어 SOL을 Polygon으로 브릿지할 수 있으며, 기본적으로 2% SOL을 POL로 교환하여 후속 거래의 Gas 비용으로 사용합니다. 더 고급 기능으로는 Copy Trading, 지정가 주문, 목표 지갑 자동 모니터링 등이 있으며, 서버가 장시간 온라인 상태를 유지하고 지속적으로 거래에 서명해야 합니다.

해킹 공격으로 인해 현재 이러한 기능은 모두 중단되었습니다.

# Telegram 거래 봇의 공통 위험

편리한 채팅식 상호작용 뒤에는 몇 가지 피하기 어려운 보안 단점이 있습니다:

첫째, 거의 모든 봇은 사용자 개인 키를 자신의 서버에 저장하며, 거래는 백그라운드에서 직접 서명됩니다. 이는 서버가 해킹되거나 운영 관리 부주의로 데이터가 유출될 경우, 공격자가 대량으로 개인 키를 추출하여 모든 사용자의 자금을 한 번에 빼갈 수 있음을 의미합니다. 둘째, 인증은 Telegram 계정 자체에 의존하므로, 사용자가 SIM 카드 탈취나 장치 분실을 당하면 공격자는 복구 문구를 알지 못해도 봇 계정을 제어할 수 있습니다. 마지막으로, 로컬 팝업 확인 단계가 없습니다------전통적인 지갑은 모든 거래에 대해 사용자가 직접 확인해야 하지만, 봇 모드에서는 백그라운드 로직에 오류가 발생하면 시스템이 사용자가 전혀 알지 못하는 상태에서 자동으로 돈을 이체할 수 있습니다.

# Polycule 문서에서 드러난 특유의 공격 면

문서 내용을 종합하면, 이번 사건과 미래의 잠재적 위험은 주로 다음 몇 가지에 집중될 것으로 추측됩니다:

개인 키 내보내기 인터페이스: `/wallet` 메뉴는 사용자가 개인 키를 내보낼 수 있도록 허용하며, 이는 백그라운드에서 가역 키 데이터를 저장하고 있음을 나타냅니다. SQL 인젝션, 무단 인터페이스 또는 로그 유출이 발생할 경우, 공격자는 직접 내보내기 기능을 호출할 수 있으며, 이는 이번 도난 사건과 높은 일치도를 보입니다.

URL 해석이 SSRF를 유발할 수 있음: 봇은 사용자가 Polymarket 링크를 제출하여 시세를 얻도록 장려합니다. 입력이 엄격하게 검증되지 않으면, 공격자는 내부 네트워크나 클라우드 서비스 메타데이터를 가리키는 링크를 위조하여 백그라운드에서 "함정"에 빠지게 하여 추가로 인증서나 구성을 탈취할 수 있습니다.

Copy Trading의 모니터링 로직: 복사 거래는 봇이 목표 지갑의 동작을 동기화하여 따르게 됩니다. 모니터링되는 이벤트가 위조될 수 있거나 시스템이 목표 거래에 대한 보안 필터링이 부족할 경우, 따라하는 사용자는 악의적인 계약에 끌려가 자금이 잠기거나 직접적으로 빼앗길 수 있습니다.

크로스 체인 및 자동 환전 단계: 자동으로 2% SOL을 POL로 교환하는 과정은 환율, 슬리피지, 오라클 및 실행 권한을 포함합니다. 코드에서 이러한 매개변수에 대한 검증이 엄격하지 않으면, 해커는 브릿지 시 환전 손실을 확대하거나 Gas 예산을 이동시킬 수 있습니다. 또한, deBridge 영수증 검증에 결함이 있을 경우, 가짜 충전이나 중복 입금의 위험이 발생할 수 있습니다.

# 프로젝트 팀 및 사용자에 대한 알림

프로젝트 팀이 할 수 있는 일은 서비스 복구 전에 완전하고 투명한 기술 리뷰를 제공하는 것입니다; 키 저장, 권한 분리, 입력 검증에 대한 특별 감사를 수행합니다; 서버 접근 제어 및 코드 배포 프로세스를 재정비합니다; 중요한 작업에 대해 이중 확인 또는 한도 메커니즘을 도입하여 추가 피해를 줄입니다.

최종 사용자는 봇 내 자금 규모를 통제하고, 수익을 즉시 인출하며, Telegram의 이중 인증, 독립 장치 관리 등의 보호 수단을 우선적으로 활성화해야 합니다. 프로젝트 측에서 명확한 보안 약속을 제시하기 전까지는 관망하는 것이 좋으며, 추가 자본을 투입하는 것을 피해야 합니다.

# 후기

Polycule의 사고는 거래 경험이 채팅 명령어로 압축될 때, 보안 조치도 동기화하여 업그레이드해야 한다는 것을 다시 한번 일깨워줍니다. Telegram 거래 봇은 단기적으로 여전히 예측 시장과 Meme 코인의 인기 진입점이 될 것이지만, 이 분야는 공격자들의 사냥터로 계속 남을 것입니다. 우리는 프로젝트 측이 보안 구축을 제품의 일부로 간주하고 사용자에게 진행 상황을 공개할 것을 권장합니다; 사용자도 경계를 유지하고 채팅 단축키를 무위험 자산 관리자로 여기지 말아야 합니다.

우리는 ExVul Security로, 거래 봇 및 체인 기반 인프라의 공격 방어 연구에 장기적으로 집중하고 있으며, Telegram 거래 봇에 대한 보안 감사, 침투 테스트 및 긴급 대응 서비스를 제공할 수 있습니다. 귀하의 프로젝트가 개발 중이거나 출시 단계에 있다면 언제든지 저희에게 연락하여 잠재적 위험을 사전에 제거하는 데 함께 하시기 바랍니다.

# ExVul에 대하여

ExVul은 Web3 보안 회사로, 서비스 범위는 스마트 계약 감사, 블록체인 프로토콜 감사, 지갑 감사, Web3 침투 테스트, 보안 상담 및 계획을 포함합니다. ExVul은 Web3 생태계의 전반적인 보안성을 향상시키기 위해 노력하며, 항상 Web3 보안 연구의 최전선에 서 있습니다.