Un trader di criptovalute perde 200.000 dollari dopo che un bot di Telegram ha divulgato le sue chiavi private

Il trader di criptovalute e personaggio televisivo Unihax0r ha perso oltre 200.000 dollari l'11 maggio dopo che qualcuno ha svuotato due dei suoi portafogli su Ethereum, Base e BSC. Gli analisti on-chain ritengono che si sia trattato di una fuga di chiavi private collegata a un bot di trading su Telegram.

"Mi hanno appena svuotato il portafoglio o mi hanno hackerato per oltre 200.000 dollari. Mi sento malissimo", ha scritto su X. Ha condiviso l'indirizzo del portafoglio dell'attaccante e ha chiesto aiuto per traci fondi.

L'aggressore ha spazzato via tre catene in meno di un'ora

Non si è trattato di untractramite smart contract, poiché non vi è stata alcuna approvazione di token malevola.

L'analista on-chain @k0braca1 ha esaminato le transazioni subito dopo l'accaduto e ha affermato che sembrava trattarsi di una fuga di chiavi private. L'attaccante "aveva il pieno controllo delle operazioni di firma su più blockchain: Ethereum, Base e BSC".

Il prelievo è durato tra i 10 e i 30 minuti. Le somme più consistenti ammontavano a circa 125.000 dollari in token $POD su Base e 21.000 dollari in token $FHE su BSC, oltre a ETH e posizioni minori. L'attaccante ha persino inviato una piccola quantità di ETH al portafoglio Ethereum per coprire le commissioni di transazione (gas) necessarie per prelevare i restanti fondi.

Ehi amico, mi dispiace che ti sia successo questo.

Una mia rapida valutazione di quanto accaduto. L'attacco sembra essere una fuga di chiavi private piuttosto che correlato a transazioni dannose, poiché l'attaccante ha il pieno controllo delle operazioni di firma su più blockchain: Ethereum, Base e BSC. Esso…

– kc (@k0braca1) 11 maggio 2026

Il bot SIGMA era il filo conduttore

Entrambi i portafogli di criptovalute svuotati erano stati creati tramite un bot di trading multichain su Telegram chiamato SIGMA. Unihax0r ha importato questi portafogli in GMGN, un altro strumento di trading su Telegram, e in Rabby Wallet.

Gli altri wallet su Rabby e Jupiter non sono stati svuotati poiché non sono stati creati dal bot SIGMA. Ciò significa che il bot di trading SIGMA è la probabile causa di questo attacco.

Gli investigatori della comunità hanno avanzato alcune ipotesi sulle cause del furto delle chiavi segrete:

• Phishing su Telegram tramite falsi bot CAPTCHA che compaiono quando si utilizza SIGMA.
• Infezioni da malware o programmi di furto di informazioni.
• Compromissione del dispositivo.
• Estensioni dannose per il browser.

Secondo quanto riportato da Crypto Times, Unihax0r ha affermato di aver controllato il suo account Telegram e di non aver trovato sessioni sospette.

Le criptovalute rubate sono finite su un conto di proprietà esterna controllato dall'attaccante.

Le criptovalute rubate sono state trasferite in un portafoglio esterno di proprietà dell'attaccante. I dati on-chain mostrano che i token rubati sono già stati mescolati dall'attaccante.

La maggior parte dei fondi si trova ancora nei portafogli degli hacker su Base. I membri della community e gli account di tracdelle frodi si sono offerti di aiutare traci fondi, ma le probabilità di recuperare il denaro sono basse.

I bot di Telegram rappresentano un punto debole strutturale

Le perdite nel settore delle criptovalute legate ai bot di trading su Telegram continuano ad aumentare. Quando un utente crea portafogli tramite i bot di Telegram, le chiavi private vengono generate e archiviate all'interno dell'infrastruttura del bot.

I ricercatori di sicurezza di ForkLog hanno messo in guardia contro l'utilizzo di bot di Telegram per il trading di criptovalute. Hanno spiegato che i bot di Telegram "potrebbero potenzialmente causare perdite di asset e non sono protetti dagli attacchi degli hacker".

Le truffe tramite bot su Telegram sono in forte aumento. La piattaforma anti-truffa ScamSniffer del Web3 ha affermato che le truffe con malware nei gruppi Telegram sono aumentate del 2000% tra novembre 2024 e gennaio 2025. Gli aggressori utilizzano falsi bot di verifica e inviti a gruppi fasulli per diffondere malware in grado di accedere a portafogli digitali e dati del browser.

Lo scorso settembre, Banana Gun, uno dei bot di trading più attivi su Telegram, ha subito la violazione di 36 portafogli per un totale di 536 ETH. All'epoca, la cifra corrispondeva a circa 1,9 milioni di dollari. Il bot è stato disattivato in seguito a questo episodio.