HashDit

Obserwowaliśmy, że to się powtarza w ostatnich incydentach związanych z bezpieczeństwem kryptowalut (użytkownik olaxbt i wieloryb venus). To będzie się utrzymywać, jeśli my, jako społeczność kryptowalutowa, nie będziemy dobrze poinformowani! 😭
Działający aktorzy z DPRK 🤖 nadal wykorzystują ten wektor ataku, ponieważ wiele projektów błędnie uważa, że ich systemy macOS są z natury bardziej zabezpieczone i pozostają nieświadome wyrafinowanych oszustw Zoom z wykorzystaniem fałszywych urządzeń telekomunikacyjnych. Ważne jest, aby organizacje były świadome zagrożeń i czujne.

"Zgodnie z raportami, aktorzy zagrożenia z DPRK ukradli łącznie 1,5 miliarda USD w kryptowalutach w pierwszej połowie 2025 roku."

It began like any other late night crypto experiment. A trader, eager to catch the next memecoin wave, opened Telegram, searched for BloomEVM (@BloomTrading), and followed the bot’s instructions: “Create your wallet. Paste your token address. Let automation do the rest.”
Within seconds, the bot was trading: fast, smooth, and efficient. But behind that convenience hid a silent danger associated with centralized storage of your private keys.
The Promise of a Telegram Trading Bot
Telegram trading bots like BloomEVM promise to simplify crypto trading. They let users create or import wallets directly in Telegram, paste token addresses, and automate trades across chains. Everything happens within a friendly chat window, no coding or wallet plugins required.
Following the Data
To understand what really happens behind the screen, we traced BloomEVM’s network traffic. The moment a user clicked Create Wallet, a series of HTTP requests lit up. We can see requests not from the user’s device to the blockchain, but between Telegram’s web client and Bloom’s backend servers.
The discovery was unsettling:
Wallets weren’t being generated locally.The private keys were created on Bloom’s servers and sent back to the user.When importing an existing wallet, private keys were transmitted to the same backend. In other words, BloomEVM had full visibility and control over users’ keys, despite publicly claiming that “Bloom will not store or retrieve your private key.”
The illusion of self-custody shattered.
The Technical Proof
Our analysts captured the key creation flow in detail. In the captured network requests, the backend responded with both the wallet address and its private key (see Fig. 1).

Fig. 1. The created private key is sent to user’s frontend and can be directly captured.
Contrary to Bloom’s documentation, the private key never resided solely in the user’s Telegram frontend. Instead, it lived on Bloom’s servers, accessible to anyone controlling that infrastructure.
This design wasn’t just a poor practice; it was a fundamental violation of self-custody principles. Even worse, the bot could execute transactions directly on behalf of users without requiring on-chain approvals. This is actually a delegation of full authority.
When Things Went Wrong
The risks weren’t theoretical.
In January 2025, a Solana user lost 1,068 SOL (≈ $2.1 million) in transaction fees after a trade routed through the Bloom Router. Community members debated whether the loss was due to a manual fee error or a bot side vulnerability. Bloom never issued a formal response. And Bloom wasn’t alone. The history of Telegram trading bots is littered with similar incidents:
Banana Gun (Sept 2023): $3 million drained from 11 users via unauthorized wallet access.Maestro (Oct 2023): 280 ETH stolen after a smart contract flaw.Unibot (Oct 2023): $640k lost in a router contract exploit.
Each story told the same cautionary tale: convenience came at the price of control.
Why This Matters
Telegram bots blur the boundary between social app and financial terminal. Unlike decentralized applications, they operate through centralized servers. A single compromised backend could endanger thousands of users’ wallets overnight. Yet, for many casual traders, that risk remains invisible behind the sleek chat interface.
What You Can Do
If you still choose to experiment with Telegram bots, treat them as untrusted intermediaries, not self-custodial tools. Security best practices include:
Use a temporary wallet. Never connect your main wallet.Limit your funds. Only deposit what you can afford to lose.Withdraw profits quickly. Move them to a cold or main wallet.Revoke token approvals when done.Monitor wallet activity regularly through explorers.
These aren’t guarantees, but they’re your last defense against silent custody failures.
The Takeaway
The rise of Telegram trading bots like BloomEVM reflects a deeper trend: traders want simplicity. But when simplicity hides centralization, the convenience becomes an illusion of control. Our investigation reminds us that in crypto, custody equals trust, and trust, once misplaced, is impossible to reclaim.

Zaledwie w zeszłym tygodniu zaobserwowaliśmy niedawny atak na łańcuch dostaw, który wpłynął na miliardy pobrań na NPM, wpływając na dziesiątki powszechnie używanych pakietów, takich jak chalk, strip-ansi i color-convert. Więcej szczegółów można znaleźć tutaj:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
W tym ataku, aktorzy zagrożeń celują w tokeny i dane uwierzytelniające GitHub, próbując skompromitować przepływy pracy GitHub Actions.
Zalecane działania:
Natychmiast przeprowadź audyt zależności swojego projektu pod kątem wszelkich dotkniętych pakietów.

🚨 Ostrzeżenie Hashdit! 🚨
Oszuści umieszczają trojany w aplikacjach pobranych na twoje urządzenia iOS i Android. Mogą one skanować obrazy haseł kryptowalut lub fraz seed portfela. Zachowaj ostrożność!
🔑 Kluczowe Lekcje:
1. Pobieraj tylko z legalnych sklepów z aplikacjami (iOS Store lub Google Play).
2. Upewnij się, że aplikacje pochodzą od renomowanych deweloperów.
3. Ogranicz uprawnienia aplikacji (np. ogranicz dostęp do swojej galerii zdjęć).
Bądź czujny i chroń swoje aktywa cyfrowe! 💪

Wprowadzenie
HashDit monitorował nowy produkt Drainer As A Service (DaaS) w branży oszustw kryptograficznych, który nazywa się Perpetual Drainer.
Zamiast tradycyjnego sposobu oszukiwania ofiary, aby odwiedziła stronę oszustwa / podszywania się, gdzie narzędzia zabezpieczające mogą blokować te strony na poziomie portfela, ofiara odwiedza stronę hostującą Perpetual Drainer, gdzie portfel teraz otrzyma prośbę z zaufanego źródła, omijając kontrole.
Sposób działania
Perpetual Drainer przekieruje ofiary do odzwierciedlonego exploitu XSS na zaufanym źródle, które następnie dynamicznie ładuje skrypt z infrastruktury Perpetual Drainer, zawierający rzeczywistą logikę drainer.

✍️ Nasz raport o incydentach za I kwartał 2025 roku dla BNB Chain został opublikowany!
1️⃣ I kwartał odnotowuje 75% spadek strat w fiat i 31% spadek liczby incydentów w porównaniu do IV kwartału 2024 roku. 🛡️
2️⃣ BSC zajmuje 5. miejsce pod względem strat w fiat w I kwartale wśród innych łańcuchów. 🤝
3️⃣ Naruszenia portfeli gorących i brak błędów walidacji były najpoważniejszymi exploitami, przy czym CEX-y były najczęściej celem. 🐛
Przeczytaj pełny raport tutaj👇
https://hashdit.github.io/hashdit/blog/bsc-2025-quarter-one-report/

Więc, czym jest token HoneyPot?
Token HoneyPot kusi użytkowników obietnicą zysków, ale uniemożliwia im późniejszą sprzedaż ich tokenów.
🎯 Zwykłe cele
Ogólni użytkownicy kryptowalut: niewielkie lub żadne doświadczenie, śledzą influencerów lub grupy pump, dają się nabrać na techniki marketingowe lub kupują fałszywe tokeny.
Handlarze Meme Coin: Myślą, że mogą szybko zarobić i szybko wyjść mimo podejrzanych aspektów.
Czy wiedziałeś? 💡
Ponad 5000 HoneyPotów zostało stworzonych tylko w tym roku! 🤯

💸 Dlaczego użytkownicy kupują
Chęć szybkiego zarobku

TLDR: Zawsze bądź ostrożny ze stronami oferującymi darmowe tokeny jako airdropy lub darmowe tokeny wysyłane na twoje konto przez airdrop i wymagają, abyś wszedł na stronę internetową, aby je odebrać. Niedawno widzieliśmy, że strona „claimusdtbox” cieszy się dużym zainteresowaniem w interakcjach członków.
Nasza rada: Trzymaj się z daleka! To strona phishingowa, której celem jest pozbawienie Cię funduszy za pomocą oszukańczych umów i oszukańczych funkcji.
Zadbaj o bezpieczeństwo swoich funduszy, chroń swój portfel za pomocą rozszerzenia HashDit Chrome!!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

Zespół HashDit zauważył, że nowa strona internetowa „ksc rocks” odnotowała szybki wzrost interakcji.
Nasza rada: Trzymaj się z daleka! Wygląda na to, że to fałszywy oszustwo Ponziego, podszywający się pod stronę inwestycyjno-handlową, którego celem jest pozbawienie Cię funduszy.
Zadbaj o bezpieczeństwo swoich środków, chroń swój portfel za pomocą rozszerzenia HashDit Chrome!!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]
#TrendingTopic #BTC #ETH #memecoin🚀🚀🚀
Dotyczące faktów:
Na stronie internetowej nie ma żadnych informacji o projekcie.

Zespół HashDit zauważył, że witryna „eth-am.com” cieszy się dużą popularnością w interakcjach członków. Zawsze należy zachować należytą staranność przed nawiązaniem kontaktu z witrynami szybkiego inwestowania.
Nasza rada: Trzymaj się z daleka! Jest to witryna phishingowa, której celem jest pozbawienie Cię środków w drodze phishingu zatwierdzającego.
Jak działa ten phishing:
Witryna jest skonfigurowana tak, aby wyglądać jak zautomatyzowana platforma handlowa połączona z aspektem stakowania. 
Gdy tylko wejdziesz na stronę, automatycznie poprosi ona o połączenie z portfelem.
Kliknięcie słowa „Otwórz” lub interakcja z rzekomą stroną handlową powoduje wyłudzenie informacji. 

Zawsze należy zachować należytą staranność przed wejściem w interakcję z jakąkolwiek witryną, która twierdzi, że umożliwia łatwe generowanie pasywnego/aktywnego dochodu. Zaobserwowaliśmy wzrost interakcji ze stroną phishingową „defiminingfarm”.
Nasza rada: trzymaj się z daleka! Jest to witryna phishingowa, której celem jest pozbawienie Cię środków w drodze phishingu zatwierdzającego.
#TrendingTopic #BTC #ETH #memecoin🚀🚀🚀
Jak działa ten phishing:
Witryna jest skonfigurowana tak, aby wyglądać jak platforma wydobywcza działająca na całym świecie. 

Fałszywie twierdzą, że współpracują z witrynami takimi jak CMC, coinGecko itp.Witryna automatycznie żąda połączenia z portfelem zaraz po załadowaniu strony.

W nowej witrynie internetowej „mtcfund.io” zaobserwowano wzrost liczby interakcji. 
Nasza rada: trzymaj się z daleka! Wygląda na to, że jest to fałszywe oszustwo inwestycyjne udające witrynę do stakowania, mające na celu pozbawienie Cię środków.
Chroń swoje fundusze, chroniąc swój portfel za pomocą rozszerzenia HashDit do Chrome!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]
#TrendingTopic #BTC #ETH #memecoin🚀🚀🚀
Dotyczące faktów: 
Strona jest źle zaprojektowana i żaden z linków nie działa.
Nie dostarczają żadnych informacji o zespole ani żadnej dokumentacji projektowej.

Zespół HashDit zauważył witrynę „zedxion.site”, której celem jest wyłudzanie informacji od użytkowników, podając się za przedsprzedażowy token fanowski „Chiliz Labs”.
Nasza rada: trzymaj się z daleka! To oszustwo typu phishing!!!  
Oszukańcza umowa [BSCScan]: 0x2a68Ef2850300e42dC2E7733a489C6f1aFFc3d1A
Sugerujemy użycie naszego rozszerzenia HashDit do Chrome, aby chronić swój portfel.
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

#TrendingTopic #BTC #ETH #Presale #memecoin🚀🚀🚀 Czerwone flagi: Strona jest źle skonfigurowana, wygląda jak przedsprzedaż nowego tokena. 

Zespół HashDit zauważył, że na kilku nowych stronach internetowych „spccoin.in”, „spctoken.in” odnotowano wzrost liczby interakcji. 
Nasza rada: Trzymaj się z daleka! To fałszywe oszustwo inwestycyjne udające witrynę do stakowania, mające na celu pozbawienie Cię środków.
Chroń swoje fundusze, chroniąc swój portfel za pomocą rozszerzenia HashDit do Chrome!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]
#BTC #ETH #TrendingTopic #memecoin🚀🚀🚀
Dotyczące faktów: 
Podają się za token zaprojektowany do oferowania różnych usług płatniczych dla projektów ekosystemu SPC.

Zawsze zachowaj należytą staranność przed wejściem w interakcję ze stronami oferującymi zrzuty nowych tokenów. Niedawno otrzymaliśmy zgłoszenie dotyczące pliku „base-brett.xyz”, który podał się za oryginał, a następnie faktycznie kradnął środki użytkownika. 
Nasza rada: Trzymaj się z daleka! Jest to witryna phishingowa, której celem jest pozbawienie Cię środków w drodze phishingu zatwierdzającego.
Chroń swoje fundusze, chroniąc swój portfel za pomocą rozszerzenia HashDit do Chrome!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

Zespół HashDit zauważył serię fałszywych witryn „allocation-hamster.com”, „ciaim-hamsterkombat.com”, „claimhamster.pages.dev”, których celem jest wyłudzanie informacji od użytkowników poprzez atak na nowy popularny projekt „Hamster Kombat”. 
Nasza rada: Trzymaj się z daleka! To oszustwo typu phishing!!!  
Rzeczywiste linki do mediów społecznościowych:
Strona internetowa: hamsterkombat.io
Twitter/X: @hamster_kombat
Telegram: t.me/hamster_kombatSugerujemy użycie naszego rozszerzenia HashDit do Chrome, aby chronić swój portfel.[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

TLDR: Uważaj na witryny podające się za zrzuty nowych tokenów. Niedawno otrzymaliśmy raport dotyczący witryn „basedbrett.claims” i „scotty-theai-io.web.app” oferujących zrzuty i roszczenia, ale w rzeczywistości kradnących środki użytkowników.  
Nasza rada: Trzymaj się z daleka! Są to witryny phishingowe, których celem jest pozbawienie Cię środków. 
Fałszywa umowa [BscScan]: 0x0000d169F98E078B60bFb09A69D145e72dBE0000
Chroń swoje fundusze, chroniąc swój portfel za pomocą rozszerzenia HashDit do Chrome!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

TLDR: Coraz częstsze jest podszywanie się pod popularne i szybko wspinaczkowe projekty i zaobserwowaliśmy kontrakt podszywający się pod niedawno wprowadzonego Notcoina i wykorzystujący aplikacje mediów społecznościowych do nakłonienia użytkowników do zakupu go za pośrednictwem pancakeswap. 
Fałszywy token (Notcoin – BSCSCAN): 0xc71f74b62d827638513d4eb90021527eed2c622c
/0x6f24daa874e65ab70b25bbb4f1fe8f4398ab893a
Nasza rada: to oszustwo! Zawsze DYOR. Ta umowa ukradnie Twoje środki. 
Sugerujemy użycie naszego rozszerzenia HashDit do Chrome, aby chronić swój portfel.
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]

TLDR: Uważaj na witryny twierdzące, że oferują tanie wymiany między łańcuchami. Niedawno otrzymaliśmy zgłoszenie dotyczące witryny „cremepieswap.site”, która w rzeczywistości kradnie środki użytkowników. 
Nasza rada: trzymaj się z daleka! Jest to witryna phishingowa, której celem jest pozbawienie Cię środków. Działa poprzez wywołanie nowej zwodniczej funkcji dysperseEther.
Fałszywa umowa [Polygonscan]: 0xb0d3FFF0946990508a7Ca5A156324b1f3e2a3c3f
Chroń swoje fundusze, chroniąc swój portfel za pomocą rozszerzenia HashDit do Chrome!
[https://chromewebstore.google.com/detail/hashdit/coegijljhiejhdodjbnlglffjomlbgmi]