Esta questão pode ser resolvida de algumas formas, mas como se trata de segurança, o ideal é que seja discutida com a equipe de dev internamente, uma vez que expondo as soluções aqui um atacante teria muitas ferramentas para tentar de outras formas.
A recomendação que eu fiz no meu post mais cedo talvez ajude a resolver este problema usando blockchain, tornaria inviável a criação de um bot para tal.