Un trader de cryptomonnaies perd 200 000 $ après la fuite de clés privées par un bot Telegram

Le trader de cryptomonnaies Unihax0r, personnalité de X, a perdu plus de 200 000 $ le 11 mai après le vidage de deux de ses portefeuilles sur Ethereum, Base et BSC. Les analystes on-chain pensent qu'il s'agit d'une fuite de clé privée liée à un bot de trading Telegram.

« Je viens de me faire vider mon compte de plus de 200 000 $ ou de me le faire pirater. J'en suis malade », a écrit sur X. Il a partagé l'adresse du portefeuille du pirate et a demandé de l'aide pour tracles fonds.

L'attaquant a détruit trois chaînes en moins d'une heure

Il ne s'agissait pas d'une exploitation detracde sécurité liée à un contrat intelligent puisqu'il n'y a pas eu d'approbation de jeton malveillante.

L'analyste on-chain @k0braca1 a examiné les transactions immédiatement après l'incident et a conclu à une fuite de clés privées. L'attaquant « contrôlait entièrement les opérations de signature sur plusieurs chaînes : Ethereum, Base et BSC ».

L'opération a duré entre 10 et 30 minutes. Les plus grosses sommes dérobées représentaient environ 125 000 $ en tokens $POD sur Base et 21 000 $ en $FHE sur BSC, ainsi que de l'ETH et des positions plus modestes. L'attaquant a même préalablement envoyé une petite quantité d'ETH sur le portefeuille Ethereum afin de couvrir les frais de gaz liés au retrait des tokens restants.

Salut mon pote, désolé que ça te soit arrivé.

Voici mon analyse rapide de la situation. L'exploit semble être une fuite de clés privées plutôt qu'une transaction malveillante, car l'attaquant contrôle entièrement les opérations de signature sur plusieurs blockchains : Ethereum, Base et BSC

– kc (@k0braca1) 11 mai 2026

Le robot SIGMA était le fil conducteur

Les deux portefeuilles crypto vidés ont été créés via un bot de trading multichaîne Telegram appelé SIGMA. Unihax0r a importé ces portefeuilles dans GMGN, un autre outil de trading Telegram, et dans Rabby Wallet.

Les autres portefeuilles sur Rabby et Jupiter n'ont pas été vidés, car ils n'ont pas été créés par le bot SIGMA. Cela signifie que le bot de trading SIGMA est la cause probable de cette attaque.

Les enquêteurs locaux ont avancé quelques hypothèses quant aux causes du vol des clés secrètes :

• Hameçonnage sur Telegram via de faux bots CAPTCHA qui apparaissent lorsque vous utilisez SIGMA.
• Infections par logiciels malveillants ou voleurs d'informations.
• Compromission de l'appareil.
• Extensions de navigateur malveillantes.

Unihax0r a déclaré avoir vérifié son compte Telegram et n'avoir trouvé aucune session suspecte, selon Crypto Times.

Les cryptomonnaies volées ont été transférées vers un compte externe contrôlé par l'attaquant.

Les cryptomonnaies volées ont été transférées vers un portefeuille externe appartenant à l'attaquant. Les données de la blockchain montrent que les jetons volés sont déjà en train d'être mélangés par l'attaquant.

La plupart des fonds se trouvent toujours dans les portefeuilles de l'attaquant sur Base. Des membres de la communauté et des comptes tracde fraude ont proposé leur aide tracles fonds, mais les chances de récupérer l'argent sont faibles.

Les bots Telegram constituent un point faible structurel

Les pertes liées aux cryptomonnaies et aux bots de trading Telegram ne cessent de s'accumuler. Lorsqu'un utilisateur crée des portefeuilles via ces bots, les clés privées sont générées et stockées au sein de l'infrastructure du bot.

Des chercheurs en sécurité de ForkLog ont mis en garde contre l'utilisation de bots Telegram pour le trading de cryptomonnaies. Ils ont expliqué que les bots Telegram « peuvent potentiellement entraîner des pertes d'actifs et ne sont pas protégés contre les attaques de pirates informatiques ».

Les arnaques via des bots Telegram sont en forte hausse. La plateforme anti-arnaque Web3 ScamSniffer a constaté une augmentation de 2 000 % des arnaques par logiciels malveillants dans les groupes Telegram entre novembre 2024 et janvier 2025. Les attaquants utilisent de faux bots de vérification et de fausses invitations à des groupes pour diffuser des logiciels malveillants capables d’accéder aux portefeuilles électroniques et aux données de navigation.

En septembre dernier, Banana Gun, l'un des bots de trading Telegram les plus actifs, a vu 36 de ses portefeuilles compromis, pour un montant total de 536 ETH, soit environ 1,9 million de dollars à l'époque. Le bot a ensuite été mis hors service.