Humidifiのセールがボットによって悪用、新たなローンチは月曜日に予定

Humidifiの待望のパブリックセールは金曜日、数秒で崩壊しました。大規模なボットスナイピング攻撃によって、全ての割当分がほぼ瞬時に吸い取られたためです。チームは、通常ユーザーが実質的に参加する機会がなかったことを認めており、自動化されたウォレットがローンチ時にセールを圧倒したと説明しています。Humidifiによると、攻撃者は1,000 USDCを事前に入金した何千ものウォレットを使用しました。

これらのウォレットはDTFコントラクトにバッチトランザクションを発動し、1つのブロックウィンドウ内で大量の購入を可能にしました。各バンドルは24,000 USDC相当の購入を実行したと報告されており、バッチごとに約350,000 WETに相当します。その結果、1つの組織化されたボットファームが数秒で全供給を獲得しました。ローンチを待っていたコミュニティメンバーは完全に締め出されました。

チーム、スナイプされたトークンを廃棄し全面リセットを計画

この不正利用を容認する代わりに、Humidifiはセール全体を無効とすることを選択しました。チームは、元のスナイプされたトークンは無効となり、該当ウォレットアドレスには今後一切の割当がないことを確認しました。まったく新しいトークンコントラクトが現在デプロイされています。また、全てのWetlistユーザーと元のセールに資格があったJUPステーカーには、新しいコントラクトのもとで按分エアドロップが配布されることも発表されました。

この対応により、ローンチが失敗した後でも本物のユーザーがアクセスできることが保証されます。Humidifiはまた、TemporalチームがDTFコントラクトを書き直し、OtterSecが更新されたコードの完全な監査を実施したことも確認しました。次回セールで自動バンドル攻撃の再発を防ぐことが目的です。新たなパブリックセールは月曜日に予定されており、ローンチ前に最新情報が共有されます。

チェーン上での攻撃手法

このエクスプロイトは速度、バッチ処理、規模に依存していました。各ウォレットは固定のUSDC残高を持っていました。個別に購入注文を送信する代わりに、攻撃者は事前に「購入ボタン」として機能する命令を作成しました。セールが開始されると、複数のトランザクションが1取引あたり6つの命令を発火させました。これにより、攻撃者は一気に大量の取引を実行できました。

複数のバンドルが連続で投入され、人間ユーザーが反応する前に全供給が消滅しました。この方法はSolanaのローンチで増加している問題を浮き彫りにしています。バッチ実行とウォレットファーミングが、保護の甘いパブリックセールを支配し続けています。コントラクトレベルで十分な保護がなければ、公平なローンチでさえ自動化資本にさらされ続けます。

コミュニティの信頼は揺らぐも、迅速な対応で沈静化

Humidifiの対応は率直かつ迅速でした。失敗したローンチを弁護するのではなく、チームは失敗を認め、即座に本物のユーザー保護に動きました。監査済みコードでの再ローンチとスナイパーアドレスの排除決定は、初期の反発を和らげました。タイミングも微妙です。Humidifiは直前に手数料体系や収益性について批判を受けており、今回のパブリックセール崩壊でSolana DeFi界隈の反応は一層激化しました。

それでも、プロジェクトの迅速なリセットは、ボット主導のローンチがもたらす損害をチームが理解していることを示しています。もし月曜日のセールが問題なく進行すれば、信頼回復につながるかもしれません。再度失敗すれば、信頼は一気に失われる可能性があります。現時点で明らかなのは、ボットが第一ラウンドを制したということです。Humidifiは、第二ラウンドでの勝利に全てを賭けています。