تم استغلال بيع Humidifi بواسطة البوتات، الإطلاق الجديد مقرر ليوم الاثنين

انهار البيع العام الذي طال انتظاره لـ Humidifi في ثوانٍ يوم الجمعة بعد هجوم واسع النطاق من البوتات التي استولت على كامل التخصيص تقريبًا فورًا. أكد الفريق أن المستخدمين العاديين لم يكن لديهم أي فرصة حقيقية للمشاركة حيث غمرت المحافظ الآلية عملية البيع عند الانطلاق. ووفقًا لـ Humidifi، استخدم المهاجم آلاف المحافظ، كل واحدة منها مُحمّلة مسبقًا بـ 1,000 USDC.

قامت هذه المحافظ بتنفيذ معاملات مجمعة في عقد DTF، مما سمح بعمليات شراء ضخمة في نافذة كتلة واحدة. ووفقًا للتقارير، نفذت كل مجموعة عمليات شراء بقيمة 24,000 USDC، أي ما يعادل تقريبًا 350,000 WET لكل دفعة. ونتيجة لذلك، استولى مزرعة بوتات منظمة واحدة على كامل العرض خلال ثوانٍ. أما أعضاء المجتمع الذين انتظروا الإطلاق فقد تم إقصاؤهم بالكامل.

الفريق يلغي التوكنات التي تم السطو عليها ويخطط لإعادة تعيين كاملة

بدلاً من السماح للاستغلال بالاستمرار، اختارت Humidifi إلغاء البيع بالكامل. وأكد الفريق أن التوكنات الأصلية التي تم الاستيلاء عليها لن يتم الاعتراف بها. وستحصل عناوين تلك المحافظ على تخصيص صفري مستقبلاً. يجري الآن نشر عقد توكن جديد كليًا. كما أكد الفريق أن جميع مستخدمي Wetlist وحاملي JUP الذين تأهلوا للبيع الأصلي سيحصلون على توزيع جوي بنسبة تناسبية بموجب العقد الجديد.

يضمن هذا الإجراء حصول المستخدمين الحقيقيين على حق الوصول حتى بعد فشل الإطلاق. كما أكدت Humidifi أن فريق Temporal أعاد كتابة عقد DTF وأكمل OtterSec تدقيقًا كاملاً على الكود المحدث. الهدف هو منع تكرار هجمات التجميع الآلي خلال البيع القادم. وقد تم تحديد موعد البيع العام الجديد ليكون يوم الاثنين، وستتم مشاركة تفاصيل جديدة قبل الإطلاق.

كيف تم تنفيذ الهجوم على السلسلة

اعتمد الاستغلال على السرعة والتجميع والنطاق. كان كل محفظة تحمل رصيدًا ثابتًا من USDC. وبدلاً من إرسال أوامر شراء فردية، أنشأ المهاجم تعليمات عملت مثل “زر شراء” مُحمّل مسبقًا. وعندما بدأ البيع، أطلقت عدة معاملات ست تعليمات لكل معاملة، مما سمح للمهاجم بتنفيذ حجم ضخم في دفعة واحدة.

ومع تقديم عدة مجموعات متتالية، اختفى كامل العرض قبل أن يتمكن المستخدمون البشر من الرد. يبرز هذا الأسلوب مشكلة متزايدة في عمليات إطلاق Solana، حيث تهيمن عمليات التنفيذ الجماعي والزراعة بالمحافظ على المبيعات العامة غير المحمية جيدًا. وبدون حماية قوية على مستوى العقد، تظل حتى الإطلاقات العادلة معرضة لرأس المال الآلي.

ثقة المجتمع تتأثر، لكن الاستجابة تهدئ المخاوف

كان رد فعل Humidifi مباشرًا وسريعًا. وبدلاً من الدفاع عن الإطلاق الفاشل، اعترف الفريق بالفشل وتحرك فورًا لحماية المستخدمين الحقيقيين. وساعد القرار بإعادة الإطلاق باستخدام كود مدقق واستبعاد عناوين البوتات في تهدئة رد الفعل الأولي. ويأتي ذلك في توقيت حساس، حيث تعرضت Humidifi مؤخرًا لانتقادات بشأن هيكل الرسوم والربحية، قبل أيام فقط من انهيار هذا البيع العام. هذا السياق جعل فشل يوم الجمعة أكثر تفجرًا في دوائر DeFi على Solana.

مع ذلك، يُظهر إعادة ضبط المشروع بسرعة أن الفريق يدرك الضرر الذي يمكن أن يتسبب به إطلاق تسيطر عليه البوتات. إذا سار بيع يوم الاثنين بسلاسة، فقد يساعد ذلك في ترميم الثقة. أما إذا فشل مرة أخرى، فقد تتلاشى الثقة بسرعة أكبر. حالياً، هناك أمر واحد واضح: البوتات فازت في الجولة الأولى. Humidifi تراهن بكل شيء على الفوز في الثانية.