È iniziato come qualsiasi altro esperimento notturno di criptovaluta. Un trader, ansioso di cogliere la prossima onda di memecoin, ha aperto Telegram, cercato BloomEVM (@BloomTrading) e seguito le istruzioni del bot: “Crea il tuo portafoglio. Incolla il tuo indirizzo token. Lascia che l'automazione faccia il resto.”
In pochi secondi, il bot stava già operando: veloce, fluido ed efficiente. Ma dietro quella comodità si nascondeva un pericolo silenzioso associato alla memorizzazione centralizzata delle tue chiavi private.
La Promessa di un Bot di Trading Telegram
I bot di trading Telegram come BloomEVM promettono di semplificare il trading di criptovalute. Consentono agli utenti di creare o importare portafogli direttamente in Telegram, incollare indirizzi di token e automatizzare le transazioni tra le catene. Tutto avviene all'interno di una finestra di chat amichevole, senza necessità di codifica o plugin per portafogli.
Seguendo i Dati
Per capire cosa succede realmente dietro lo schermo, abbiamo tracciato il traffico di rete di BloomEVM. Nel momento in cui un utente ha cliccato su Crea Portafoglio, una serie di richieste HTTP si sono illuminate. Possiamo vedere richieste non dal dispositivo dell'utente alla blockchain, ma tra il client web di Telegram e i server di backend di Bloom.
La scoperta era inquietante:
I portafogli non venivano generati localmente.
Le chiavi private venivano create sui server di Bloom e restituite all'utente.
Quando si importava un portafoglio esistente, le chiavi private venivano trasmesse allo stesso backend. In altre parole, BloomEVM aveva piena visibilità e controllo sulle chiavi degli utenti, nonostante affermasse pubblicamente che "Bloom non memorizzerà né recupererà la tua chiave privata."
L'illusione dell'auto-custodia si è frantumata.
La Prova Tecnica
I nostri analisti hanno catturato in dettaglio il flusso di creazione delle chiavi. Nelle richieste di rete catturate, il backend ha risposto sia con l'indirizzo del portafoglio che con la sua chiave privata (vedi Fig. 1).
Fig. 1. La chiave privata creata viene inviata al frontend dell'utente e può essere catturata direttamente.
Contrariamente alla documentazione di Bloom, la chiave privata non risiedeva mai solo nel frontend di Telegram dell'utente. Invece, viveva sui server di Bloom, accessibile a chiunque controllasse quella infrastruttura.
Questo design non era solo una cattiva pratica; era una violazione fondamentale dei principi di auto-custodia. Ancora peggio, il bot poteva eseguire transazioni direttamente per conto degli utenti senza richiedere approvazioni on-chain. Questo è in realtà una delega di piena autorità.
Quando le cose sono andate male
I rischi non erano teorici.
Nel gennaio 2025, un utente di Solana ha perso 1,068 SOL (≈ $2,1 milioni) in commissioni di transazione dopo un'operazione instradata tramite il Router di Bloom. I membri della comunità hanno dibattuto se la perdita fosse dovuta a un errore di commissione manuale o a una vulnerabilità lato bot. Bloom non ha mai emesso una risposta formale. E Bloom non era solo. La storia dei bot di trading su Telegram è costellata di incidenti simili:
Banana Gun (Set 2023): $3 milioni drenati da 11 utenti tramite accesso non autorizzato al portafoglio.
Maestro (Ott 2023): 280 ETH rubati dopo un difetto nel contratto intelligente.
Unibot (Ott 2023): $640k persi in un exploit di contratto del router.
Ogni storia raccontava la stessa avvertenza: la comodità veniva a un prezzo di controllo.
Perché Questo è Importante
I bot di Telegram offuscano il confine tra app sociali e terminali finanziari. A differenza delle applicazioni decentralizzate, operano tramite server centralizzati. Un singolo backend compromesso potrebbe mettere in pericolo migliaia di portafogli di utenti da un giorno all'altro. Eppure, per molti trader occasionali, quel rischio rimane invisibile dietro l'elegante interfaccia di chat.
Cosa Puoi Fare
Se scegli ancora di sperimentare con i bot di Telegram, trattali come intermediari non affidabili, non come strumenti di auto-custodia. Le migliori pratiche di sicurezza includono:
Usa un portafoglio temporaneo. Non collegare mai il tuo portafoglio principale.
Limita i tuoi fondi. Deposita solo ciò che puoi permetterti di perdere.
Preleva i profitti rapidamente. Spostali in un portafoglio freddo o principale.
Revoca le approvazioni dei token quando hai finito.
Monitora regolarmente l'attività del portafoglio tramite esploratori.
Queste non sono garanzie, ma sono la tua ultima difesa contro i fallimenti di custodia silenziosi.
Il Riepilogo
L'ascesa dei bot di trading su Telegram come BloomEVM riflette una tendenza più profonda: i trader vogliono semplicità. Ma quando la semplicità nasconde la centralizzazione, la comodità diventa un'illusione di controllo. La nostra indagine ci ricorda che nel crypto, la custodia equivale a fiducia, e la fiducia, una volta mal riposta, è impossibile da recuperare.
