Zaczęło się jak każdy inny późnonocny eksperyment kryptowalutowy. Trader, chętny do złapania następnej fali memecoinów, otworzył Telegram, wyszukał BloomEVM (@BloomTrading) i postępował zgodnie z instrukcjami bota: „Utwórz swój portfel. Wklej adres swojego tokena. Niech automatyzacja zrobi resztę.”
Zaledwie w kilka sekund bot zaczął handlować: szybko, płynnie i efektywnie. Ale za tą wygodą krył się cichy niebezpieczeństwo związane ze scentralizowanym przechowywaniem twoich prywatnych kluczy.
Obietnica bota handlowego Telegram
Boty handlowe Telegram, takie jak BloomEVM, obiecują uprościć handel kryptowalutami. Umożliwiają użytkownikom tworzenie lub importowanie portfeli bezpośrednio w Telegramie, wklejanie adresów tokenów i automatyzowanie transakcji w różnych sieciach. Wszystko odbywa się w przyjaznym oknie czatu, bez potrzeby kodowania czy wtyczek portfelowych.
Śledzenie danych
Aby zrozumieć, co naprawdę dzieje się za ekranem, prześledziliśmy ruch sieciowy BloomEVM. W momencie, gdy użytkownik kliknął Utwórz portfel, seria żądań HTTP zapaliła się. Możemy zobaczyć żądania nie z urządzenia użytkownika do blockchaina, ale między klientem sieciowym Telegram a serwerami zaplecza Bloom.
Odkrycie było niepokojące:
Portfele nie były generowane lokalnie.
Klucze prywatne były tworzone na serwerach Bloom i wysyłane z powrotem do użytkownika.
Podczas importowania istniejącego portfela klucze prywatne były przesyłane do tego samego zaplecza. Innymi słowy, BloomEVM miał pełną widoczność i kontrolę nad kluczami użytkowników, pomimo publicznych twierdzeń, że 'Bloom nie przechowa ani nie odzyska twojego klucza prywatnego.'
Iluzja samodzielnego przechowywania rozpadła się.
Dowód techniczny
Nasi analitycy szczegółowo uchwycili proces tworzenia kluczy. W uchwyconych żądaniach sieciowych zaplecze odpowiedziało zarówno adresem portfela, jak i jego kluczem prywatnym (patrz Rys. 1).
Rys. 1. Utworzony klucz prywatny jest wysyłany do interfejsu użytkownika i może być bezpośrednio przechwycony.
W przeciwieństwie do dokumentacji Bloom, klucz prywatny nigdy nie znajdował się wyłącznie w interfejsie użytkownika Telegram. Zamiast tego, znajdował się na serwerach Bloom, dostępny dla każdego, kto kontrolował tę infrastrukturę.
Ten projekt nie był tylko złym zwyczajem; był fundamentalnym naruszeniem zasad samodzielnego przechowywania. Jeszcze gorsze jest to, że bot mógł wykonywać transakcje bezpośrednio w imieniu użytkowników, nie wymagając zatwierdzeń on-chain. To w rzeczywistości delegacja pełnej władzy.
Kiedy coś poszło nie tak
Ryzyko nie było teoretyczne.
W styczniu 2025 roku użytkownik Solany stracił 1,068 SOL (≈ 2,1 miliona dolarów) w opłatach transakcyjnych po transakcji realizowanej przez Bloom Router. Członkowie społeczności debatowali, czy strata wynikała z błędu manualnego w opłatach, czy z podatności po stronie bota. Bloom nigdy nie wydał formalnej odpowiedzi. I Bloom nie był sam. Historia botów handlowych na Telegramie jest usiana podobnymi incydentami:
Banana Gun (wrzesień 2023): 3 miliony dolarów wyciągnięte od 11 użytkowników za pomocą nieautoryzowanego dostępu do portfela.
Maestro (październik 2023): 280 ETH skradzionych z powodu błędu w smart kontrakcie.
Unibot (październik 2023): 640 tys. dolarów stracone w wyniku ataku na kontrakt routera.
Każda historia opowiadała tę samą przestrogę: wygoda przyszła kosztem kontroli.
Dlaczego to ma znaczenie
Boty Telegram zacierają granice między aplikacją społecznościową a terminalem finansowym. W przeciwieństwie do zdecentralizowanych aplikacji, działają przez scentralizowane serwery. Pojedyncze skompromitowane zaplecze może zagrażać portfelom tysięcy użytkowników w nocy. Jednak dla wielu przypadkowych traderów to ryzyko pozostaje niewidoczne za eleganckim interfejsem czatu.
Co możesz zrobić
Jeśli nadal zdecydujesz się eksperymentować z botami Telegram, traktuj je jako nieufnych pośredników, a nie narzędzi samodzielnego przechowywania. Najlepsze praktyki bezpieczeństwa obejmują:
Użyj tymczasowego portfela. Nigdy nie łącz swojego głównego portfela.
Ogranicz swoje fundusze. Wpłacaj tylko to, co możesz sobie pozwolić stracić.
Szybko wypłacaj zyski. Przenieś je do zimnego lub głównego portfela.
Cofnij zatwierdzenia tokenów, gdy skończysz.
Monitoruj aktywność portfela regularnie przez eksploratory.
To nie są gwarancje, ale to twoja ostatnia obrona przed cichymi awariami przechowywania.
Podsumowanie
Wzrost botów handlowych Telegram takich jak BloomEVM odzwierciedla głębszy trend: traderzy pragną prostoty. Ale gdy prostota ukrywa centralizację, wygoda staje się iluzją kontroli. Nasze dochodzenie przypomina nam, że w kryptowalutach przechowywanie oznacza zaufanie, a zaufanie, raz źle ulokowane, jest niemożliwe do odzyskania.
