Эксперты предупредили о риске потери криптовалют при торговле через Telegram-ботов

Набирающие популярность криптовалютные торговые боты в Telegram хотя и отличаются дружелюбным интерфейсом и простотой в использовании потенциально могут привести к потере активов и никак не защищены от хакерских атак. Об этом заявили опрошенные ForkLog эксперты.  Большая аудитория мессенджера Telegram и востребованность обменных операций с цифровой валютой привела к увеличению числа торговых ботов, например Unibot, Swipe, WagieBot и Bolt. По данным Dune Analytics, на текущий момент более 66 000 владельцев криптовалют совершили сделки на общую сумму свыше $149,4 млн посредством подобных сервисов. При этом аналитики предупреждают о наличии значительных погрешностей в своих подсчетах. Данные: Dune Analytics. Вместе с тем механизмы создания кошельков и обработки пользовательских активов вызывают опасения экспертов. Преимущества ботов Криптоботы в Telegram предназначены для оптимизации сложных процессов, связанных с созданием кошелька и авторизацией необходимых разрешений для смарт-контрактов на децентрализованных биржах, которые обрабатывают транзакции с активами. Широкий набор функций и стратегий для работы с криптовалютами делают их удобными в использовании. Кроме того, они обеспечивают высокую операционную скорость. "Например, популярный Unibot специализируется на быстрых свопах на Uniswap, совершая сделки в шесть раз быстрее, чем на сайте самой DEX",  — объяснил ForkLog CEO Hacken Дмитрий Будорин. Боты работают путем интеграции с различными криптовалютными биржами и блокчейн-сетями на основе программных алгоритмов, которые выполняют заранее заданные функции. Как правило, использование ботов бесплатное, взимается лишь номинальная комиссия за транзакцию.  "Чтобы начать пользоваться ботом, нужно подключить свой существующий кошелек к платформе и поделиться своим закрытым ключом. Или есть другой способ, когда Telegram-бот создает для вас новый кошелек, [самостоятельно генерируя криптографические ключи]", — рассказывает Будорин. Сид-фразы хранятся в зашифрованном виде на серверах ботов и могут быть показаны пользователю при первой установке сервиса, добавляет руководитель отдела аналитики и исследований HAPI Labs Марк Лецюк. Ключевые проблемы Исходя из вышесказанного, пользователь фактически передает ответственность за сохранность своих активов третьей стороне. Это усугубляется тем, что большинство ботов имеют закрытый исходный код и не проходят аудит безопасности.  "Разработчики имеют полный контроль над кодом и могут внедрять скрытые функции. Некоторые боты предоставляют только исполняемые файлы, что ограничивает возможность проверки безопасности", — отмечает Лецюк.  По его словам, хранение активов на сторонних серверах чревато несанкционированным доступом к данным из-за нарушений безопасности, человеческого фактора и уязвимостей в коде бота. Не исключены спланированные кибератаки на серверы криптоботов, создание ботов с целью мошенничества или проведения схем rug pull. "Хотя популярные криптоботы обычно разработаны с соблюдением высоких стандартов безопасности, ни один бот не является абсолютно недосягаемым для взлома или иных атак. Любая уязвимость может привести к потере средств или как минимум утечке информации", — подчеркнул эксперт. По словам Дмитрия Будорина, дополнительный риск создают технические особенности самого мессенджера Telegram, код которого также не является открытым и не проходил независимый аудит: "Сквозное шифрование доступно только для секретных чатов, с которыми боты взаимодействовать не могут". Во избежание потери активов эксперты рекомендуют использовать только надежных и проверенных поставщиков услуг — в идеале с открытым исходным кодом, положительной репутацией и отзывами, а также аудитами от профильных специалистов.  "Важно периодически обновлять приложения и пароли, регулярно проверять права доступа ботов и при необходимости отзывать таковые, проверять активные сессии и по возможности включать двухфакторную аутентификацию. Хранение больших сумм криптовалют с помощью таких инструментов недопустимо, для этого существуют холодные кошельки", — резюмирует Марк Лецюк. Ранее ForkLog сообщал, что операторы программ-вымогателей, разработчики вредоносного ПО и другие злоумышленники переводят активную деятельность из даркнета в Telegram-каналы.