Продажа Humidifi была эксплуатирована ботами, новый запуск назначен на понедельник

Источник: CryptoNewsNet
Оригинальное название: Humidifi Sale Exploited by Bots, New Launch Set for Monday
Оригинальная ссылка: https://cryptonews.net/news/security/32088466/

Атака ботов на публичную продажу Humidifi

Долгожданная публичная продажа Humidifi рухнула за считанные секунды в пятницу после масштабной атаки ботов, которые практически мгновенно выкупили всю аллокацию. Команда подтвердила, что у обычных пользователей не было реального шанса поучаствовать, поскольку автоматизированные кошельки массово захватили продажу в момент запуска. По данным Humidifi, злоумышленник использовал тысячи кошельков, каждый из которых был предварительно пополнен на 1,000 USDC.

Эти кошельки инициировали пакетные транзакции в контракт DTF, что позволило совершать массовые покупки в одном блоке. Сообщается, что каждый пакет совершал покупку на сумму 24,000 USDC, что эквивалентно примерно 350,000 WET за один пакет. В результате, одна организованная бот-ферма захватила весь объем токенов за секунды. Члены сообщества, которые ждали запуска, были полностью заблокированы.

Команда аннулирует захваченные токены и готовит полный сброс

Вместо того чтобы оставить эксплойт без ответа, Humidifi решила аннулировать всю продажу. Команда подтвердила, что изначально захваченные токены не будут признаны действительными. Соответствующие адреса кошельков не получат никакой аллокации в дальнейшем. Сейчас разворачивается совершенно новый токен-контракт. Команда также подтвердила, что все пользователи Wetlist и стейкеры JUP, которые квалифицировались для оригинальной продажи, получат пропорциональный airdrop по новому контракту.

Этот шаг гарантирует, что настоящие пользователи всё же получат доступ, несмотря на неудавшийся запуск. Humidifi также подтвердила, что команда Temporal переписала контракт DTF, а OtterSec провела полный аудит обновленного кода. Цель — предотвратить повторение автоматизированных атак в следующей продаже. Новый публичный запуск намечен на понедельник. Подробности будут опубликованы перед стартом.

Как работала атака в сети

Эксплойт базировался на скорости, пакетировании и масштабе. Каждый кошелек содержал фиксированный баланс USDC. Вместо индивидуальных покупок злоумышленник создал инструкции, действующие как заранее загруженные «кнопки покупки». Когда продажа стартовала, множество транзакций активировали шесть инструкций в каждой, позволяя исполнить огромный объем покупки одним махом.

С несколькими пакетами, отправленными друг за другом, весь объем исчез до того, как обычные пользователи успели среагировать. Этот метод подчеркивает растущую проблему на стартах в Solana. Пакетное выполнение и фарминг кошельков продолжают доминировать на слабо защищённых публичных продажах. Без мощной защиты на уровне смарт-контракта даже честные запуски остаются уязвимыми для автоматизированного капитала.

Доверие сообщества пошатнулось, но реакция команды снизила опасения

Реакция Humidifi была быстрой и решительной. Вместо попыток оправдать провал, команда признала ошибку и сразу же приняла меры для защиты настоящих пользователей. Решение перезапустить продажу с аудированным кодом и исключить адреса снайперов помогло снизить первоначальное негодование. Момент также был чувствительным, так как незадолго до этого Humidifi подверглась критике из-за структуры комиссий и прибыльности — всего за несколько дней до провала публичной продажи.

Тем не менее, оперативный сброс показывает, что команда понимает, какой ущерб может нанести запуск под контролем ботов. Если продажа в понедельник пройдет чисто, это может восстановить доверие. Если же провал повторится, доверие может исчезнуть ещё быстрее. Сейчас ясно одно: в первом раунде победили боты. Humidifi ставит всё на победу во втором.