Nó bắt đầu như bất kỳ thí nghiệm tiền điện tử nào khác vào đêm muộn. Một nhà giao dịch, khao khát bắt kịp làn sóng memecoin tiếp theo, đã mở Telegram, tìm kiếm BloomEVM (@BloomTrading), và làm theo hướng dẫn của bot: “Tạo ví của bạn. Dán địa chỉ token của bạn. Hãy để tự động hóa làm phần còn lại.”
Chỉ trong vài giây, bot đã bắt đầu giao dịch: nhanh chóng, mượt mà và hiệu quả. Nhưng phía sau sự thuận tiện đó là một mối nguy hiểm âm thầm liên quan đến việc lưu trữ tập trung các khóa riêng tư của bạn.
Lời Hứa của Một Bot Giao Dịch Telegram
Các bot giao dịch Telegram như BloomEVM hứa hẹn sẽ đơn giản hóa giao dịch tiền điện tử. Chúng cho phép người dùng tạo hoặc nhập ví trực tiếp trong Telegram, dán địa chỉ token và tự động hóa giao dịch qua các chuỗi. Mọi thứ diễn ra trong một cửa sổ trò chuyện thân thiện, không cần mã hóa hoặc plugin ví.
Theo Dõi Dữ Liệu
Để hiểu những gì thực sự xảy ra phía sau màn hình, chúng tôi đã theo dõi lưu lượng mạng của BloomEVM. Ngay khi một người dùng nhấp vào Tạo Ví, một loạt các yêu cầu HTTP đã được bật sáng. Chúng tôi có thể thấy các yêu cầu không từ thiết bị của người dùng đến blockchain, mà giữa khách hàng web của Telegram và các máy chủ backend của Bloom.
Sự phát hiện thật đáng lo ngại:
Các ví không được tạo ra tại chỗ.
Các khóa riêng được tạo ra trên các máy chủ của Bloom và gửi lại cho người dùng.
Khi nhập một ví đã tồn tại, các khóa riêng đã được truyền đến cùng một backend. Nói cách khác, BloomEVM đã có khả năng nhìn thấy và kiểm soát hoàn toàn các khóa của người dùng, mặc dù công khai tuyên bố rằng “Bloom sẽ không lưu trữ hoặc lấy lại khóa riêng của bạn.”
Ảo tưởng về tự quản lý đã bị phá vỡ.
Bằng chứng Kỹ thuật
Các nhà phân tích của chúng tôi đã ghi lại chi tiết quy trình tạo khóa. Trong các yêu cầu mạng đã được ghi lại, backend đã phản hồi với cả địa chỉ ví và khóa riêng của nó (xem Hình 1).
Hình 1. Khóa riêng được tạo ra được gửi đến giao diện người dùng và có thể bị bắt trực tiếp.
Trái ngược với tài liệu của Bloom, khóa riêng chưa bao giờ chỉ tồn tại trong giao diện Telegram của người dùng. Thay vào đó, nó sống trên các máy chủ của Bloom, có thể truy cập bởi bất kỳ ai kiểm soát cơ sở hạ tầng đó.
Thiết kế này không chỉ là một thực hành kém; nó là một vi phạm cơ bản các nguyên tắc tự quản lý. Còn tệ hơn, bot có thể thực hiện giao dịch trực tiếp thay mặt cho người dùng mà không cần sự chấp thuận trên chuỗi. Điều này thực sự là một sự ủy quyền toàn bộ quyền lực.
Khi mọi thứ trở nên sai lầm
Các rủi ro không chỉ là lý thuyết.
Vào tháng 1 năm 2025, một người dùng Solana đã mất 1,068 SOL (≈ $2.1 triệu) trong phí giao dịch sau khi một giao dịch được định tuyến qua Bloom Router. Các thành viên cộng đồng đã tranh luận xem liệu sự mất mát là do lỗi phí thủ công hay một lỗ hổng bên bot. Bloom chưa bao giờ đưa ra phản hồi chính thức. Và Bloom không phải là đơn độc. Lịch sử của các bot giao dịch Telegram đầy rẫy những sự cố tương tự:
Súng Chuối (Tháng 9 năm 2023): $3 triệu đã bị rút từ 11 người dùng qua việc truy cập ví trái phép.
Maestro (Tháng 10 năm 2023): 280 ETH bị đánh cắp sau một lỗi hợp đồng thông minh.
Unibot (Tháng 10 năm 2023): $640k bị mất trong một cuộc tấn công hợp đồng định tuyến.
Mỗi câu chuyện đều kể một câu chuyện cảnh báo giống nhau: sự thuận tiện đi kèm với cái giá của quyền kiểm soát.
Tại sao điều này quan trọng
Các bot Telegram làm mờ ranh giới giữa ứng dụng xã hội và đầu cuối tài chính. Khác với các ứng dụng phi tập trung, chúng hoạt động thông qua các máy chủ tập trung. Một backend bị xâm phạm có thể nguy hại đến hàng ngàn ví của người dùng trong một đêm. Tuy nhiên, đối với nhiều nhà giao dịch bình thường, rủi ro đó vẫn không thể nhìn thấy sau giao diện trò chuyện bóng bẩy.
Những gì bạn có thể làm
Nếu bạn vẫn chọn thử nghiệm với các bot Telegram, hãy coi chúng như các trung gian không đáng tin cậy, không phải là các công cụ tự quản lý. Các thực hành bảo mật tốt nhất bao gồm:
Sử dụng một ví tạm thời. Không bao giờ kết nối ví chính của bạn.
Hạn chế quỹ của bạn. Chỉ gửi số tiền mà bạn có thể chấp nhận mất.
Rút lợi nhuận nhanh chóng. Chuyển chúng sang một ví lạnh hoặc chính.
Thu hồi quyền chấp thuận token khi đã xong.
Theo dõi hoạt động ví thường xuyên qua các trình khám phá.
Đây không phải là những đảm bảo, nhưng chúng là hàng phòng thủ cuối cùng của bạn chống lại các thất bại quản lý âm thầm.
Điều rút ra
Sự phát triển của các bot giao dịch Telegram như BloomEVM phản ánh một xu hướng sâu sắc hơn: các nhà giao dịch muốn sự đơn giản. Nhưng khi sự đơn giản ẩn giấu sự tập trung, sự thuận tiện trở thành một ảo tưởng về quyền kiểm soát. Cuộc điều tra của chúng tôi nhắc nhở rằng trong crypto, quản lý bằng lòng tin, và lòng tin, một khi bị sai lệch, khó có thể khôi phục.
