A început ca orice alt experiment cripto de noapte târziu. Un trader, dornic să prindă următoarea vală de memecoin, a deschis Telegram, a căutat BloomEVM (@BloomTrading) și a urmat instrucțiunile botului: „Creează-ți portofelul. Lipește adresa token-ului tău. Lasă automatizarea să facă restul.”
În câteva secunde, botul a început să tranzacționeze: rapid, lin și eficient. Dar în spatele acelei conveniențe se ascundea un pericol tăcut asociat cu stocarea centralizată a cheilor tale private.
Promisiunea unui bot de tranzacționare Telegram
Botele de tranzacționare Telegram, cum ar fi BloomEVM, promit să simplifice tranzacționarea cripto. Ele permit utilizatorilor să creeze sau să importe portofele direct în Telegram, să lipească adresele token-urilor și să automatizeze tranzacțiile pe diferite lanțuri. Totul se întâmplă într-o fereastră de chat prietenoasă, fără a fi necesară programarea sau pluginurile pentru portofele.
Urmărind Datele
Pentru a înțelege ce se întâmplă cu adevărat în spatele ecranului, am urmărit traficul de rețea al BloomEVM. În momentul în care un utilizator a făcut clic pe Creează Portofel, o serie de cereri HTTP s-au aprins. Putem vedea cereri care nu provin de la dispozitivul utilizatorului către blockchain, ci între clientul web Telegram și serverele backend Bloom.
Descoperirea a fost neliniștitoare:
Portofelele nu erau generate local.
Cheile private au fost create pe serverele Bloom și trimise înapoi utilizatorului.
Când se importa un portofel existent, cheile private erau transmise către același backend. Cu alte cuvinte, BloomEVM avea o vizibilitate și control complet asupra cheilor utilizatorilor, în ciuda faptului că afirma public că „Bloom nu va stoca sau recupera cheia ta privată.”
Iluzia auto-păstrării s-a spulberat.
Dovada tehnică
Analistii noștri au capturat fluxul de creare a cheii în detaliu. În cererile de rețea capturate, backend-ul a răspuns cu atât adresa portofelului, cât și cheia sa privată (vezi Fig. 1).
Fig. 1. Cheia privată creată este trimisă către frontend-ul utilizatorului și poate fi capturată direct.
Contrar documentației Bloom, cheia privată nu a rezidat niciodată exclusiv în frontend-ul Telegram al utilizatorului. În schimb, ea a fost stocată pe serverele Bloom, accesibile oricui controla acea infrastructură.
Acest design nu a fost doar o practică proastă; a fost o încălcare fundamentală a principiilor de auto-păstrare. Și mai rău, botul putea executa tranzacții direct în numele utilizatorilor fără a necesita aprobări on-chain. Aceasta este de fapt o delegare a autorității complete.
Când lucrurile au mers prost
Riscurile nu erau teoretice.
În ianuarie 2025, un utilizator Solana a pierdut 1.068 SOL (≈ 2,1 milioane de dolari) în taxe de tranzacție după un schimb rutat prin Bloom Router. Membrii comunității au dezbătut dacă pierderea a fost cauzată de o eroare manuală a taxei sau de o vulnerabilitate a botului. Bloom nu a emis niciodată un răspuns formal. Și Bloom nu a fost singur. Istoria boților de tranzacționare Telegram este plină de incidente similare:
Banana Gun (Sept 2023): 3 milioane de dolari drenate de la 11 utilizatori prin acces neautorizat la portofel.
Maestro (Oct 2023): 280 ETH furați după o defectiune a contractului inteligent.
Unibot (Oct 2023): 640k dolari pierduți într-o exploatare a contractului router.
Fiecare poveste a spus aceeași poveste de avertizare: conveniența a venit cu prețul controlului.
De ce contează acest lucru
Boții Telegram estompează granița dintre aplicația socială și terminalul financiar. Spre deosebire de aplicațiile descentralizate, ele funcționează prin servere centralizate. Un singur backend compromis ar putea pune în pericol portofelele a mii de utilizatori peste noapte. Totuși, pentru mulți traderi ocazionali, acel risc rămâne invizibil în spatele interfeței elegante de chat.
Ce poți face
Dacă alegi să experimentezi cu boții Telegram, tratează-i ca intermediari neîncrezători, nu ca instrumente de auto-păstrare. Cele mai bune practici de securitate includ:
Folosește un portofel temporar. Nu conecta niciodată portofelul tău principal.
Limitează-ți fondurile. Depune doar ce îți poți permite să pierzi.
Retrage profiturile rapid. Mută-le într-un portofel rece sau principal.
Revocă aprobările tokenurilor când ai terminat.
Monitorizează activitatea portofelului regulat prin exploratori.
Acestea nu sunt garanții, dar sunt ultima ta apărare împotriva eșecurilor silențioase de custodie.
Concluzia
Ascensiunea boților de tranzacționare Telegram precum BloomEVM reflectă o tendință mai profundă: traderii doresc simplitate. Dar când simplitatea ascunde centralizarea, conveniența devine o iluzie de control. Investigația noastră ne amintește că în crypto, custodia este egală cu încrederea, iar încrederea, odată ce este pierdută, este imposibil de recâștigat.
