Auteur : ExVul Security, société de sécurité Web3
一、Résumé de l’événement
Le 13 janvier 2026, Polycule a confirmé que son robot de trading Telegram avait été piraté, avec environ 230 000 dollars de fonds d’utilisateurs volés. L’équipe a rapidement publié une mise à jour sur X : le robot a été mis hors ligne, un correctif a été déployé en urgence, et il a été promis que les utilisateurs affectés du côté Polygon seraient indemnisés. Depuis la veille au soir jusqu’à aujourd’hui, plusieurs annonces ont alimenté la discussion sur la sécurité dans le domaine des robots de trading Telegram.
二、Comment fonctionne Polycule
La position de Polycule est très claire : permettre aux utilisateurs de naviguer sur le marché, gérer leurs positions et leurs fonds via Telegram sur Polymarket. Les modules principaux incluent :
Ouverture de compte et tableau de bord : /start attribue automatiquement un portefeuille Polygon et affiche le solde, /home et /help offrent des accès et des instructions.
Marché et trading : /trending, /search, ou coller directement une URL Polymarket permettent d’obtenir les détails du marché ; le robot propose des ordres au marché / limite, l’annulation d’ordres et la visualisation de graphiques.
Portefeuille et fonds : /wallet permet de consulter les actifs, retirer des fonds, échanger POL/USDC, exporter la clé privée ; /fund guide le processus de recharge.
Pont inter-chaînes : intégration approfondie avec deBridge, aidant les utilisateurs à transférer des actifs depuis Solana, avec une déduction par défaut de 2% en SOL pour convertir en POL pour le gaz.
Fonctionnalités avancées : /copytrade ouvre l’interface de copie de trading, permettant de suivre selon un pourcentage, un montant fixe ou des règles personnalisées, avec options de pause, de suivi inverse, de partage de stratégies, etc.
Le Polycule Trading Bot gère la communication avec l’utilisateur, analyse les commandes, et en arrière-plan, gère les clés, signe les transactions et surveille en continu les événements sur la blockchain.
Après avoir saisi /start, le système génère automatiquement un portefeuille Polygon et conserve la clé privée. L’utilisateur peut ensuite continuer avec des commandes comme /buy, /sell, /positions pour consulter, trader et gérer ses positions. Le robot peut aussi analyser des liens web Polymarket pour fournir directement le point d’entrée au trading. Les fonds inter-chaînes passent par deBridge, permettant de bridge SOL vers Polygon, avec une déduction par défaut de 2% en SOL pour convertir en POL pour payer le gaz. Les fonctionnalités avancées incluent Copy Trading, ordres limités, surveillance automatique de portefeuilles cibles, nécessitant un serveur en ligne en permanence pour signer les transactions.
三、Risques communs aux robots de trading Telegram
Derrière une interaction conviviale en mode chat, se cachent plusieurs vulnérabilités de sécurité difficiles à éviter :
Premièrement, presque tous les robots stockent la clé privée des utilisateurs sur leurs serveurs, et effectuent des signatures de transactions en leur nom. Cela signifie qu’en cas de piratage du serveur ou de fuite accidentelle de données, un attaquant peut exporter en masse ces clés privées, volant ainsi tous les fonds des utilisateurs en une seule fois. Deuxièmement, l’authentification repose sur le compte Telegram lui-même : si l’utilisateur est victime d’un détournement de SIM ou perd son appareil, l’attaquant peut contrôler le compte du robot sans connaître la phrase de récupération. Enfin, il n’y a pas de confirmation locale par popup — contrairement à un portefeuille traditionnel où chaque transaction doit être confirmée manuellement par l’utilisateur —, dans le mode robot, une erreur dans la logique backend peut entraîner un transfert automatique de fonds à l’insu de l’utilisateur.
四、Les vulnérabilités spécifiques révélées par la documentation de Polycule
En analysant la documentation, on peut supposer que cet incident et les risques futurs potentiels se concentrent principalement sur les points suivants :
Interface d’exportation de la clé privée : /wallet permet aux utilisateurs d’exporter leur clé privée, indiquant que le backend stocke des données de clés réversibles. En cas d’injection SQL, d’interface non autorisée ou de fuite dans les logs, un attaquant pourrait exploiter cette fonction pour exporter directement ces clés, ce qui correspond fortement à la situation du vol.
Analyse d’URL pouvant déclencher une SSRF : le robot encourage l’utilisateur à soumettre des liens Polymarket pour obtenir des informations de marché. Si la validation de ces entrées est insuffisante, un attaquant peut falsifier des liens pointant vers des ressources internes ou des métadonnées cloud, permettant au backend d’être victime d’un “piège” et de voler des identifiants ou des configurations.
Logique d’écoute du Copy Trading : suivre un portefeuille cible implique que le robot doit suivre et reproduire ses opérations. Si les événements écoutés peuvent être falsifiés ou si le système manque de filtres de sécurité, l’utilisateur en copie pourrait être entraîné dans un contrat malveillant, avec un risque de verrouillage ou de vol direct des fonds.
Pont inter-chaînes et échange automatique : le processus d’échange automatique de 2% de SOL en POL dépend des taux de change, du slippage, des oracles et des droits d’exécution. Si ces paramètres ne sont pas strictement vérifiés dans le code, un attaquant pourrait augmenter la perte lors du bridge ou détourner le budget de gas. De plus, une validation insuffisante des reçus de deBridge peut entraîner des risques de rechargements frauduleux ou de double comptabilisation.
五、Conseils pour l’équipe du projet et les utilisateurs
Ce que l’équipe peut faire : publier un retour technique complet et transparent avant la reprise du service ; réaliser des audits spécifiques sur le stockage des clés, la séparation des permissions, la validation des entrées ; revoir les contrôles d’accès serveur et le processus de déploiement ; introduire une double confirmation ou des limites pour les opérations critiques afin de réduire les dommages potentiels.
Ce que les utilisateurs doivent faire : limiter la taille des fonds dans le robot, retirer rapidement les gains, activer en priorité la double authentification Telegram et la gestion sur appareils séparés. Avant que le projet ne fasse des engagements de sécurité clairs, il vaut mieux attendre et éviter d’ajouter des fonds.
六、Conclusion
L’incident de Polycule rappelle une fois de plus : lorsque l’expérience de trading se résume à une commande en chat, les mesures de sécurité doivent également évoluer. Les robots de trading Telegram resteront à court terme une porte d’entrée populaire pour le marché des prédictions et des memecoins, mais ce domaine continuera d’être une cible privilégiée pour les attaquants. Nous recommandons aux projets de considérer la sécurité comme une partie intégrante du produit, en communiquant régulièrement sur les avancées ; les utilisateurs doivent aussi rester vigilants et ne pas considérer la messagerie comme un gestionnaire d’actifs sans risque.
Articles similaires
Le PDG de la plateforme d’échange crypto polonaise Zondacrypto s’enfuit en Israël alors que l’enquête pour fraude s’approfondit davantage
Les procureurs polonais ont ouvert une enquête pour fraude contre la plateforme d’échange de cryptomonnaies Zondacrypto après le départ du directeur général Przemysław Kral pour Israël, où sa nationalité pourrait empêcher l’extradition, exposant jusqu’à 30 000 utilisateurs à des pertes liées à un portefeuille froid inaccessible contenant 4 500
CoinpediaIl y a 1h
TRADOOR Token Crashes 90% in 30 Minutes Amid Suspected Price Manipulation and Wash Trading
Gate News message, April 25 — TRADOOR token experienced a sharp 90% price crash over 30 minutes at 2:00 AM today, according to on-chain analyst Specter. The token had surged as much as 900% since March 2026 before the sudden collapse, raising suspicions of price manipulation and coordinated
GateNewsIl y a 9h
AAVE, chute de 20% du ZRO après le piratage de Kelp DAO
Les tokens AAVE et ZRO ont chuté d’environ 20 % sur une semaine après le piratage de Kelp DAO le 18, ce qui a mis en évidence des vulnérabilités structurelles dans l’infrastructure de prêt DeFi et du pont inter-chaînes. Au 24 à 11:15 (selon CoinMarketCap), AAVE s’échangeait à 94,68 $ (en baisse de 16,53 % sur la semaine
CryptoFrontierIl y a 15h
41 enlèvements de crypto en France en 3,5 mois ; Durov accuse des fuites de données
Message de Gate News, 24 avril — La France a connu 41 enlèvements de détenteurs de crypto-monnaies en seulement 3,5 mois en 2026, selon Pavel Durov, fondateur de Telegram, qui a attribué cette hausse à des fuites de données généralisées. Durov a souligné dans une publication sur X que des données personnelles sensibles — y compris des informations détenues par les autorités fiscales et issues d’une importante brèche à l’Agence française pour les documents sécurisés — ont révélé les noms, adresses et numéros de téléphone d’environ 19 millions de personnes, ce qui rend les détenteurs d’actifs numériques des cibles plus faciles.
Les autorités françaises ont confirmé que plus de 40 enlèvements de crypto-monnaies ou tentatives d’enlèvement ont été enregistrés depuis janvier 2026, soit une hausse marquée par rapport à environ 30 cas en 2025. D’après Philippe Chadrys, de la police judiciaire française, le modus operandi et les méthodes de ciblage varient, de nombreuses opérations étant dirigées par des réseaux opérant depuis l’étranger. Les incidents vont d’enlèvements de courte durée à des affaires violentes impliquant torture et demandes de rançon. Dans un cas récent, une femme et son fils de 11 ans ont été kidnappés en Bourgogne puis libérés après une opération policière d’envergure. Dans un autre cas à Anglet, des suspects ont kidnappé par erreur les mauvaises personnes avant d’être arrêtés. En 2025, le dirigeant marquant de l’industrie crypto David Balland a été kidnappé et a eu son doigt coupé avant d’être secouru.
Les procureurs français ont désormais inculpé 88 personnes dans le cadre d’enlèvements liés aux crypto-monnaies, dont des mineurs dans au moins une douzaine de dossiers. Durov a averti que l’élargissement de l’accès des gouvernements aux identités numériques et aux communications chiffrées pourrait aggraver la situation si les systèmes sont compromis, bien que son affirmation selon laquelle des responsables fiscaux vendraient directement des données reste non vérifiée.
La crise d’exposition des données s’étend au-delà des enlèvements. Les groupes français de protection des données font état de millions d’enregistrements compromis sur plusieurs brèches touchant des services publics et des entreprises privées. D’après Seb, président de la Fédération française pour la protection des données, la France est appelée à devenir le deuxième pays le plus piraté au monde en 2026, avec plus de 300 services français touchés, 23 millions de comptes compromis et plus de 250 millions d’enregistrements de données exposés. À elle seule, France Titres ANTS a vu plus de 11,7 millions de comptes exposés, tandis que l’Agence des paiements de l’État et des services a divulgué des informations bancaires et des numéros de sécurité sociale de millions de citoyens français.
Les enlèvements liés aux crypto-monnaies suivent généralement un schéma : les victimes sont identifiées comme détenant des actifs numériques, enlevées, puis contraintes à transférer des fonds sous la contrainte. Contrairement aux comptes bancaires traditionnels, les portefeuilles crypto peuvent être consultés instantanément si des clés privées ou des mots de passe sont révélés, ce qui en fait des cibles attrayantes pour l’extorsion. Pendant ce temps, le Bitcoin a bondi d’environ 10 % au cours des 30 derniers jours, s’échangeant à 77 601 $ au moment de la publication, tandis qu’Ethereum a reculé de 5 % sur la semaine, à 2 315 $.
GateNewsIl y a 23h
La bourse Zondacrypto fait l’objet d’accusations de détournement de 350 millions de dollars, le PDG nie publiquement
L’un des plus grands échanges de crypto-monnaies de Pologne, Zondacrypto, a fait une déclaration publique le 16 avril sur les réseaux sociaux par son PDG, Przemysław Kral, indiquant que la plateforme ne parvenait pas à accéder à un portefeuille contenant 4 503 bitcoins, d’une valeur actuelle de plus de 350 millions de dollars. Kral a publié l’adresse du portefeuille en question afin de réfuter les accusations de détournement, mais cette divulgation a immédiatement déclenché un large retrait.
MarketWhisper04-24 02:59
CryptoQuant : Le lancement d’une faille de KelpDAO déclenche la crise la plus grave depuis 2024, le TVL d’Aave chute de 33 %
Selon l’évaluation de CryptoQuant du 23 avril, l’attaque par faille de KelpDAO survenue la semaine dernière a exposé Aave, dans un délai de 72 heures, à un risque potentiel de créances irrécouvrables allant de 124 à 230 millions de dollars, tandis que le TVL a chuté de 33 %. Les taux d’emprunt des prêts en USDT et USDC sont passés de 3,4 % à 14 %, et le taux d’emprunt de l’ETH a atteint le niveau le plus élevé depuis janvier 2024, à 8 %.
MarketWhisper04-24 02:13
