Tas sākās kā jebkurš cits vēlu vakara kriptovalūtu eksperiments. Tirgotājs, kas vēlējās noķert nākamo memecoin viļņu, atvēra Telegram, meklēja BloomEVM (@BloomTrading) un sekoja robota norādījumiem: “Izveidojiet savu maku. Ielīmējiet savu tokenu adresi. Ļaujiet automatizācijai darīt pārējo.”
Dažu sekunžu laikā robots sāka tirgot: ātri, gludi un efektīvi. Bet aiz šīs ērtības slēpās klusa bīstamība, kas saistīta ar centralizētu jūsu privāto atslēgu glabāšanu.
Telegram tirdzniecības robota solījums
Telegram tirdzniecības roboti, piemēram, BloomEVM, solās vienkāršot kriptovalūtu tirdzniecību. Tie ļauj lietotājiem izveidot vai importēt makus tieši Telegram, ielīmēt tokenu adreses un automatizēt tirdzniecību starp ķēdēm. Viss notiek draudzīgā tērzēšanas logā, nav nepieciešama kodēšana vai maka papildinājumi.
Sekojiet datiem
Lai saprastu, kas patiešām notiek aiz ekrāna, mēs izsekojām BloomEVM tīkla satiksmi. Brīdī, kad lietotājs noklikšķināja uz Izveidot maku, parādījās virknes HTTP pieprasījumu. Mēs varam redzēt pieprasījumus ne no lietotāja ierīces uz blokķēdi, bet starp Telegram tīmekļa klientu un Bloom aizmugures serveriem.
Atklājums bija satraucošs:
Maki netika ģenerēti lokāli.
Privātās atslēgas tika izveidotas Bloom serveros un nosūtītas lietotājam.
Importējot esošu maku, privātās atslēgas tika nosūtītas uz to pašu aizmuguri. Citiem vārdiem sakot, BloomEVM bija pilna redzamība un kontrole pār lietotāju atslēgām, neskatoties uz publisko apgalvojumu, ka "Bloom neuzglabās vai neizgūs jūsu privāto atslēgu."
Pašglabāšanas ilūzija tika sagrauta.
Tehniskais pierādījums
Mūsu analītiķi detalizēti fiksēja atslēgu izveides plūsmu. Fiksētajos tīkla pieprasījumos aizmugure atbildēja ar gan maka adresi, gan tās privāto atslēgu (skat. 1. att.).
1. att. Izveidotā privātā atslēga tiek nosūtīta lietotāja priekšējā daļā un var tikt tieši fiksēta.
Pretēji Bloom dokumentācijai, privātā atslēga nekad nebija tikai lietotāja Telegram priekšējā daļā. Tā dzīvoja Bloom serveros, pieejama ikvienam, kas kontrolēja šo infrastruktūru.
Šis dizains nebija tikai slikta prakse; tas bija fundamentāls pašpārvaldības principu pārkāpums. Vēl sliktāk, bots varēja veikt darījumus tieši lietotāju vārdā, neprasot apstiprinājumus ķēdē. Tas patiesībā ir pilnīgas varas deleģēšana.
Kad lietas gāja greizi
Riski nebija teorētiski.
2025. gada janvārī Solana lietotājs zaudēja 1,068 SOL (≈ $2.1 miljons) darījumu maksājumos pēc tirdzniecības, kas tika novirzīta caur Bloom maršrutētāju. Kopienas locekļi diskutēja, vai zaudējums bija saistīts ar manuālu maksas kļūdu vai robota puses ievainojamību. Bloom nekad neizsniedza oficiālu atbildi. Un Bloom nebija vienīgais. Telegram tirdzniecības robotu vēsture ir piepildīta ar līdzīgām incidentiem:
Banānu ieroču (Sept 2023): $3 miljoni iztērēti no 11 lietotājiem, izmantojot neautorizētu maka piekļuvi.
Maestro (Okt 2023): 280 ETH nozagti pēc viedā līguma kļūdas.
Unibot (Okt 2023): $640k zaudēti maršrutētāja līguma izmantošanas dēļ.
Katrs stāsts stāstīja to pašu brīdinājuma stāstu: ērtības nāca ar kontroles cenu.
Kāpēc tas ir svarīgi
Telegram roboti izpludina robežu starp sociālo lietotni un finanšu termināli. Atšķirībā no decentralizētām lietotnēm, tie darbojas caur centralizētiem serveriem. Viena kompromitēta aizmugure var apdraudēt tūkstošiem lietotāju maku vienā naktī. Tomēr daudziem ikdienas tirgotājiem šis risks paliek neredzams aiz glītā čata saskarnes.
Ko jūs varat darīt
Ja joprojām izvēlaties eksperimentēt ar Telegram robotiem, izturieties pret tiem kā pret neuzticamiem starpniekiem, nevis pašpārvaldes rīkiem. Drošības labākās prakses ietver:
Izmantojiet pagaidu maku. Nekad nesavienojiet savu galveno maku.
Ierobežojiet savus līdzekļus. Noguldiet tikai to, ko varat atļauties zaudēt.
Ātri izņemiet peļņu. Pārvietojiet to uz auksto vai galveno maku.
Atceliet tokenu apstiprinājumus, kad esat pabeiguši.
Regulāri uzraugiet maka aktivitāti, izmantojot izpētītājus.
Šie nav garantijas, bet tie ir jūsu pēdējā aizsardzība pret klusām glabāšanas kļūdām.
Secinājums
Telegram tirdzniecības robotu, piemēram, BloomEVM, pieaugums atspoguļo dziļāku tendenci: tirgotāji vēlas vienkāršību. Bet, kad vienkāršība slēpj centralizāciju, ērtības kļūst par kontroles ilūziju. Mūsu izmeklēšana atgādina, ka kriptovalūtās glabāšana ir vienāda ar uzticību, un uzticība, ja tā ir nepareiza, ir neiespējama atgūt.