Isso ocorre porque bots não utilizam o formulário de cadastro front-end que possui validadores. Esses bots de spam estão fazendo requisições automatizadas diretamente ao endpoint da API de cadastro. Acredito também que, quando os campos são opcionais, às vezes a validação no back-end não é rigorosa o suficiente e ainda salva o valor do payload no banco de dados.
Não tenho certeza qual seja a correção principal, mas você provavelmente precisará de alguma configuração ou ferramentas adicionais contra spam. (Eu uso um bot de spam com IA no meu fórum público e funciona muito bem, e também tenho campos opcionais no cadastro.)
Você pode encontrar todos os usuários do seu fórum usando o Explorador de Dados — acho que isso funcionará, embora eu não tenha testado (assumindo que o campo personalizado seja user_field_1):
SELECT user_id, value
FROM user_custom_fields
WHERE name = 'user_field_1'
AND value NOT IN ('Bro', 'Sis', '')
Se você alterou recentemente o campo de um campo de texto para uma lista suspensa, isso também pode explicar algumas dessas contas de bots com valores de campo incorretos.