Cela a commencé comme n'importe quelle autre expérience de crypto nocturne. Un trader, désireux de profiter de la prochaine vague de memecoin, a ouvert Telegram, a cherché BloomEVM (@BloomTrading) et a suivi les instructions du bot : "Créez votre portefeuille. Collez votre adresse de jeton. Laissez l'automatisation faire le reste."
En quelques secondes, le bot était en train de trader : rapide, fluide et efficace. Mais derrière cette commodité se cachait un danger silencieux associé au stockage centralisé de vos clés privées.
La promesse d'un bot de trading Telegram
Les bots de trading Telegram comme BloomEVM promettent de simplifier le trading de crypto. Ils permettent aux utilisateurs de créer ou d'importer des portefeuilles directement dans Telegram, de coller des adresses de jetons et d'automatiser les échanges entre les chaînes. Tout se passe dans une fenêtre de chat conviviale, sans codage ni plugins de portefeuille requis.
Suite des données
Pour comprendre ce qui se passe réellement derrière l’écran, nous avons analysé le trafic réseau de BloomEVM. Dès qu’un utilisateur a cliqué sur « Créer un portefeuille », une série de requêtes HTTP s’est déclenchée. Nous pouvons observer que les requêtes ne proviennent pas de l’appareil de l’utilisateur vers la blockchain, mais entre le client web Telegram et les serveurs backend de Bloom.
La découverte était troublante :
Les portefeuilles n’étaient pas générés localement.
Les clés privées étaient créées sur les serveurs de Bloom et renvoyées à l’utilisateur.
Lors de l’importation d’un portefeuille existant, les clés privées étaient transmises au même backend. Autrement dit, BloomEVM avait une visibilité totale et un contrôle complet sur les clés des utilisateurs, malgré ses déclarations publiques selon lesquelles « Bloom ne stockera ni ne récupérera votre clé privée. »
L’illusion de la garde autonome s’est effondrée.
La preuve technique
Nos analystes ont capturé en détail le flux de création de clé. Dans les requêtes réseau capturées, le serveur backend a répondu avec à la fois l’adresse du portefeuille et sa clé privée (voir Fig. 1).
Fig. 1. La clé privée créée est envoyée à l’interface frontend de l’utilisateur et peut être directement capturée.
Contrairement à la documentation de Bloom, la clé privée n’a jamais résidé uniquement dans l’interface frontend Telegram de l’utilisateur. Elle se trouvait sur les serveurs de Bloom, accessible à quiconque contrôlait cette infrastructure.
Ce design n’était pas seulement une mauvaise pratique ; c’était une violation fondamentale des principes de gestion autonome. Pire encore, le bot pouvait exécuter des transactions en votre nom sans nécessiter d’approbation sur la chaîne. Cela représente en réalité un transfert complet de pouvoir.
Quand les choses ont mal tourné
Les risques n’étaient pas théoriques.
En janvier 2025, un utilisateur Solana a perdu 1 068 SOL (≈ 2,1 millions de dollars) en frais de transaction après une opération passant par le routeur Bloom. La communauté s’est interrogée sur la cause de cette perte : erreur manuelle de frais ou vulnérabilité d’un bot ? Bloom n’a jamais publié de réponse officielle. Et Bloom n’était pas seul. L’histoire des bots de trading Telegram regorge d’incidents similaires :
Banane Gun (septembre 2023) : 3 millions de dollars retirés de 11 utilisateurs via un accès non autorisé au portefeuille.
Maestro (octobre 2023) : 280 ETH volés après une faille dans un contrat intelligent.
Unibot (octobre 2023) : 640 000 $ perdus dans une exploitation d’un contrat routeur.
Chaque histoire racontait le même avertissement : la commodité a un prix, celui de la perte de contrôle.
Pourquoi cela a de l’importance
Les bots Telegram brouillent la frontière entre application sociale et terminal financier. Contrairement aux applications décentralisées, ils fonctionnent via des serveurs centralisés. Un seul serveur backend compromis pourrait mettre en danger des milliers de portefeuilles en une nuit. Pourtant, pour de nombreux traders occasionnels, ce risque reste invisible derrière l’interface élégante du chat.
Ce que vous pouvez faire
Si vous choisissez encore d’expérimenter avec des bots Telegram, traitez-les comme des intermédiaires non fiables, et non comme des outils de gestion autonome. Les meilleures pratiques en matière de sécurité incluent :
Utilisez un portefeuille temporaire. Ne connectez jamais votre portefeuille principal.
Limitez vos fonds. Déposez uniquement ce que vous pouvez vous permettre de perdre.
Retirez rapidement vos bénéfices. Transférez-les vers un portefeuille froid ou principal.
Révoquez les autorisations de jetons une fois terminé.
Surveillez activement l’activité de votre portefeuille via les explorateurs.
Ce ne sont pas des garanties, mais ce sont vos dernières lignes de défense contre les échecs silencieux de la garde.
L’essentiel à retenir
L’essor des bots de trading Telegram comme BloomEVM reflète une tendance plus profonde : les traders recherchent la simplicité. Mais lorsque la simplicité masque la centralisation, la commodité devient une illusion de contrôle. Notre enquête nous rappelle que dans le monde de la cryptomonnaie, la garde équivaut à la confiance, et la confiance, une fois mal placée, est impossible à récupérer.
