El 13 de enero de 2026, Polycure oficial confirmó que su robot de trading en Telegram fue hackeado, robándose aproximadamente 230,000 dólares en fondos de usuarios. El equipo actualizó rápidamente en X: el robot fue desconectado, se implementaron parches de reparación con rapidez y se comprometió a compensar a los usuarios afectados en Polygon. Desde anoche hasta hoy, varias rondas de anuncios han mantenido en aumento la discusión sobre la seguridad en el sector de los robots de trading en Telegram.

Dos, Cómo funciona Polycule

La posición de Polycule es muy clara: permite a los usuarios completar la navegación por mercados, gestión de posiciones y manejo de fondos en Polymarket a través de Telegram. Los módulos principales incluyen:

Apertura de cuenta y panel: /start asigna automáticamente una billetera Polygon y muestra el saldo, /home y /help ofrecen accesos y explicaciones de comandos.

Información de mercado y trading: /trending, /search, y pegar directamente la URL de Polymarket permiten obtener detalles del mercado; el robot ofrece órdenes de mercado/límite, cancelación de órdenes y visualización de gráficos.

Billetera y fondos: /wallet permite consultar activos, retirar fondos, intercambiar POL/USDC y exportar la clave privada; /fund guía sobre el proceso de recarga.

Puente entre cadenas: integración profunda con deBridge, ayuda a los usuarios a puente de Solana a otros activos, y por defecto deduce un 2% en SOL para convertir en POL para pagar gas.

Funciones avanzadas: /copytrade abre la interfaz de copia de trading, permitiendo seguir operaciones por porcentaje, monto fijo o reglas personalizadas, además de configurar pausas, seguimiento inverso, compartir estrategias y otras funciones extendidas.

El Polycule Trading Bot se encarga de interactuar con los usuarios, interpretar comandos, gestionar claves en segundo plano, firmar transacciones y monitorear eventos en la cadena.

Tras ingresar /start, el sistema genera automáticamente una billetera en Polygon y guarda la clave privada, permitiendo posteriormente enviar comandos como /buy, /sell, /positions para consultar, realizar órdenes y gestionar posiciones. El robot también puede analizar enlaces web de Polymarket y devolver directamente la entrada de trading. Los fondos entre cadenas dependen de la integración con deBridge, que soporta puente de SOL a Polygon, y automáticamente deduce un 2% en SOL para convertir en POL para pagos de gas en futuras transacciones. Funciones más avanzadas incluyen Copy Trading, órdenes limitadas, monitoreo automático de billeteras objetivo, que requieren que el servidor esté en línea por largos periodos y firme transacciones de forma continua.

Tres, Riesgos comunes en los robots de trading en Telegram

Detrás de una interacción conversacional conveniente, existen varias vulnerabilidades de seguridad difíciles de evitar:

Primero, casi todos los robots almacenan las claves privadas de los usuarios en sus servidores, firmando las transacciones en nombre del usuario. Esto significa que si el servidor es comprometido o se filtran datos por negligencia en la operación, los atacantes pueden exportar en masa las claves privadas y robar todos los fondos de los usuarios de una sola vez. En segundo lugar, la autenticación depende de la cuenta de Telegram en sí misma; si el usuario sufre secuestro de SIM o pérdida del dispositivo, el atacante puede controlar la cuenta del robot sin necesidad de conocer la frase semilla. Finalmente, no hay una confirmación emergente local — mientras que en las billeteras tradicionales cada transacción requiere confirmación del usuario, en modo robot, si la lógica del backend tiene fallos, el sistema puede transferir fondos automáticamente sin que el usuario se entere.

Cuatro, Riesgos específicos revelados por la documentación de Polycule

Analizando el contenido de la documentación, se puede inferir que el incidente actual y los riesgos potenciales futuros se concentran en los siguientes puntos:

Interfaz de exportación de claves privadas: /wallet permite a los usuarios exportar sus claves privadas, indicando que el backend almacena datos de claves reversibles. Si existen vulnerabilidades como inyección SQL, interfaces no autorizadas o filtraciones en logs, los atacantes pueden activar directamente la función de exportación, lo que coincide mucho con el escenario del robo.

Posible explotación SSRF en análisis de URLs: el robot anima a los usuarios a enviar enlaces de Polymarket para obtener información de mercado. Si la validación de entrada no es estricta, un atacante puede falsificar enlaces que apunten a redes internas o metadatos en la nube, haciendo que el backend caiga en una trampa y robe credenciales o configuraciones.

Lógica de monitoreo en Copy Trading: copiar operaciones implica que el robot siga en sincronía las acciones de una billetera objetivo. Si los eventos monitoreados pueden ser falsificados o el sistema carece de filtros de seguridad, los usuarios que siguen pueden ser llevados a contratos maliciosos, con fondos bloqueados o incluso robados directamente.

Puentes entre cadenas y procesos automáticos de cambio de moneda: la conversión automática del 2% de SOL en POL involucra tasas de cambio, deslizamiento, oráculos y permisos de ejecución. Si estos parámetros no se validan rigurosamente en el código, los hackers pueden amplificar pérdidas en el puente o transferir el presupuesto de gas. Además, si la validación de los recibos de deBridge es deficiente, puede haber riesgos de recargas falsas o entradas duplicadas.

Cinco, Recomendaciones para el equipo del proyecto y los usuarios

Lo que puede hacer el equipo del proyecto incluye: entregar un análisis técnico completo y transparente antes de reanudar el servicio; realizar auditorías específicas en almacenamiento de claves, aislamiento de permisos y validación de entradas; revisar los controles de acceso en servidores y el proceso de publicación de código; introducir confirmaciones secundarias o límites en operaciones clave para reducir daños adicionales.

Los usuarios finales deben considerar limitar el monto de fondos en el robot, retirar ganancias oportunamente y activar medidas de protección como la doble verificación en Telegram y gestión en dispositivos independientes. Antes de que el equipo brinde garantías de seguridad claras, es recomendable esperar y no añadir fondos adicionales.

Seis, Epílogo

El incidente de Polycule nos recuerda una vez más: cuando la experiencia de trading se reduce a un comando de chat, las medidas de seguridad también deben actualizarse. Los robots de trading en Telegram seguirán siendo una vía popular para mercados predictivos y memes en el corto plazo, pero este campo también será un objetivo constante para los atacantes. Recomendamos a los proyectos que integren la seguridad como parte del producto y compartan avances con los usuarios; los usuarios, por su parte, deben mantenerse alerta y no confiar en atajos de chat como gestores de activos sin riesgos.

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Artículos relacionados

Pi Network prohíbe la principal DApp WorldBanksPi con 140 mil usuarios sin previo aviso

Avance del proyecto Acciones de ejecución Riesgo de exchange pi network news

De acuerdo con el DEX de Pi Network, el 9 de mayo de 2026, el equipo central de Pi Network eliminó WorldBanksPi, una DApp de máxima categoría en el navegador de Pi con más de 140.000 usuarios, sin aviso previo ni proceso de apelación. El proyecto fue identificado como una operación tipo Ponzi que promocionaba valoraciones falsas y esquemas de “depósito para ganar” bajo la marca de Pi Network, incumpliendo los estándares de cumplimiento del ecosistema. La eliminación forma parte de una limpieza m

GateNewshace11h

Estonia emite una advertencia a los inversores contra Zondacrypto, acusándola de infringir las normas de MiCA

Acciones de ejecución Riesgo de exchange Regulación y política Incidentes de seguridad

La Autoridad de Supervisión Financiera de Estonia (FSA) emitió el 9 de mayo una advertencia a inversores sobre la empresa BB Trade Estonia OÜ (operando el intercambio digital Zondacrypto), señalando que Zondacrypto no publica en su sitio web el whitepaper del token cripto «TeamPL», incumpliendo lo establecido en el Artículo 9, apartado 1, del marco regulatorio de criptoactivos de la Unión Europea (MiCA). Detalles de las infracciones de MiCA y advertencia oficial de la FSA de Estonia Según la adv

MarketWhisperhace14h

Fallo en la app de Revolut: un gráfico muestra una caída repentina del precio de Bitcoin y genera confusión entre los usuarios

Riesgo de exchange Incidentes de seguridad bitcoin news

La plataforma de fintech Revolut confirmó el 8 de mayo que había surgido un problema técnico que afectaba algunas funciones de criptomonedas. Según una declaración en X de la cuenta oficial de soporte de Revolut, los ingenieros investigan activamente la causa raíz. Antes, los gráficos de la aplicación de Revolut mostraron brevemente que Bitcoin llegó a tan solo 0,019916 dólares; algunos usuarios también recibieron notificaciones automáticas en sincronía que decían que BTC había tocado un mínimo de 52 semanas. El incidente duró unos segundos y luego volvió a la normalidad.

MarketWhisperhace16h

La bolsa de cripto europea Zondacrypto se derrumba, el CEO se oculta en Dubái mientras sufre pérdidas de más de 100 millones de dólares para los clientes

Riesgo de exchange Acciones de ejecución

Según medios polacos Onet Wiadomości, Zondacrypto, un intercambio de criptomonedas europeo que recientemente colapsó, ha dejado a los clientes con pérdidas que superan los 100 millones de dólares. El CEO del intercambio, Przemysław Kral, y el operador real, un hombre conocido como "Maniek", supuestamente se están escondiendo en Dubái. Kral había estado

GateNewshace17h

Los usuarios de Revolut ven una caída relámpago de Bitcoin hasta $0,02 el viernes, desde el precio global de $79K

Riesgo de exchange Volatilidad del precio Incidentes de seguridad bitcoin news

Según CoinDesk, algunos usuarios de Revolut vieron cómo el precio de Bitcoin se desplomaba hasta tan solo 0,02 dólares el viernes 8 de mayo, muy por debajo del nivel global del mercado en el que BTC se negociaba cerca de 79.000 dólares. El precio que se mostraba en la gráfica de la app registró una fuerte caída antes de recuperarse rápidamente a niveles normales. Las principales bolsas supervisadas por

GateNews05-08 10:29

El contrato predeterminado de la Library de LayerZero plantea $3B riesgo; los firmantes del multisig participaron en operaciones de tokens meme

Incidentes de seguridad Datos on-chain Riesgo de exchange

Según PANews, el mecanismo de actualización predeterminado del contrato de biblioteca de LayerZero Labs plantea riesgos para más de 3 mil millones en LZ OFT el 8 de mayo, con 178 millones actualmente expuestos a proyectos que aún usan la configuración predeterminada. El investigador de seguridad Banteg señaló que el contrato no tiene restricciones de tiempo,

GateNews05-08 06:36

Comentar

0/400

Sin comentarios