Itu dimulai seperti eksperimen kripto larut malam lainnya. Seorang trader, yang bersemangat untuk menangkap gelombang memecoin berikutnya, membuka Telegram, mencari BloomEVM (@BloomTrading), dan mengikuti instruksi bot: “Buat dompet Anda. Tempelkan alamat token Anda. Biarkan otomatisasi melakukan sisanya.”
Dalam beberapa detik, bot mulai berdagang: cepat, lancar, dan efisien. Tetapi di balik kenyamanan itu tersembunyi bahaya diam yang terkait dengan penyimpanan terpusat kunci pribadi Anda.
Janji dari Bot Trading Telegram
Bot trading Telegram seperti BloomEVM menjanjikan untuk menyederhanakan trading kripto. Mereka memungkinkan pengguna untuk membuat atau mengimpor dompet langsung di Telegram, menempelkan alamat token, dan mengotomatiskan perdagangan di berbagai rantai. Semuanya terjadi dalam jendela obrolan yang ramah, tanpa perlu pemrograman atau plugin dompet.
Mengikuti Data
Untuk memahami apa yang sebenarnya terjadi di balik layar, kami melacak lalu lintas jaringan BloomEVM. Saat seorang pengguna mengklik Buat Dompet, serangkaian permintaan HTTP menyala. Kami dapat melihat permintaan bukan dari perangkat pengguna ke blockchain, tetapi antara klien web Telegram dan server backend Bloom.
Penemuan itu tidak menyenangkan:
Dompet tidak dihasilkan secara lokal.
Kunci privat dibuat di server Bloom dan dikirim kembali kepada pengguna.
Saat mengimpor dompet yang ada, kunci privat dikirim ke backend yang sama. Dengan kata lain, BloomEVM memiliki visibilitas dan kontrol penuh atas kunci pengguna, meskipun secara publik mengklaim bahwa "Bloom tidak akan menyimpan atau mengambil kunci privat Anda."
Ilusi penyimpanan mandiri hancur.
Bukti Teknis
Analisis kami menangkap alur pembuatan kunci secara rinci. Dalam permintaan jaringan yang ditangkap, backend merespons dengan alamat dompet dan kunci privatnya (lihat Gambar 1).
Gambar 1. Kunci privat yang dibuat dikirim ke front-end pengguna dan dapat ditangkap langsung.
Bertentangan dengan dokumentasi Bloom, kunci privat tidak pernah hanya berada di front-end Telegram pengguna. Sebaliknya, itu berada di server Bloom, yang dapat diakses oleh siapa saja yang mengendalikan infrastruktur itu.
Desain ini bukan hanya praktik buruk; itu adalah pelanggaran mendasar terhadap prinsip penyimpanan mandiri. Lebih buruk lagi, bot dapat mengeksekusi transaksi langsung atas nama pengguna tanpa memerlukan persetujuan di rantai. Ini sebenarnya adalah delegasi penuh otoritas.
Ketika Segalanya Menjadi Salah
Risiko tidak bersifat teoritis.
Pada Januari 2025, seorang pengguna Solana kehilangan 1.068 SOL (≈ $2,1 juta) dalam biaya transaksi setelah perdagangan diarahkan melalui Bloom Router. Anggota komunitas berdebat apakah kerugian itu disebabkan oleh kesalahan biaya manual atau kerentanan sisi bot. Bloom tidak pernah mengeluarkan tanggapan formal. Dan Bloom tidak sendirian. Sejarah bot perdagangan Telegram dipenuhi dengan insiden serupa:
Senjata Pisang (Sept 2023): $3 juta diambil dari 11 pengguna melalui akses dompet yang tidak sah.
Maestro (Okt 2023): 280 ETH dicuri setelah adanya cacat pada kontrak pintar.
Unibot (Okt 2023): $640k hilang dalam eksploitasi kontrak router.
Setiap cerita menceritakan kisah peringatan yang sama: kenyamanan datang dengan harga kontrol.
Mengapa Ini Penting
Bot Telegram mengaburkan batas antara aplikasi sosial dan terminal keuangan. Berbeda dengan aplikasi terdesentralisasi, mereka beroperasi melalui server terpusat. Sebuah backend yang terkompromi dapat membahayakan dompet ribuan pengguna dalam semalam. Namun, bagi banyak pedagang kasual, risiko itu tetap tidak terlihat di balik antarmuka obrolan yang ramping.
Apa yang Dapat Anda Lakukan
Jika Anda masih memilih untuk bereksperimen dengan bot Telegram, perlakukan mereka sebagai perantara yang tidak tepercaya, bukan alat penyimpanan mandiri. Praktik terbaik keamanan termasuk:
Gunakan dompet sementara. Jangan pernah menghubungkan dompet utama Anda.
Batasi dana Anda. Hanya setorkan apa yang Anda mampu untuk kehilangan.
Tarik keuntungan dengan cepat. Pindahkan ke dompet dingin atau utama.
Cabut persetujuan token setelah selesai.
Pantau aktivitas dompet secara teratur melalui penjelajah.
Ini bukan jaminan, tetapi ini adalah pertahanan terakhir Anda terhadap kegagalan penyimpanan yang diam.
Intinya
Kenaikan bot perdagangan Telegram seperti BloomEVM mencerminkan tren yang lebih dalam: pedagang menginginkan kesederhanaan. Namun, ketika kesederhanaan menyembunyikan sentralisasi, kenyamanan menjadi ilusi kontrol. Penyelidikan kami mengingatkan kita bahwa dalam crypto, penyimpanan sama dengan kepercayaan, dan kepercayaan, sekali salah tempat, tidak mungkin untuk dikembalikan.
