El principal DEX de dark pools en Solana, HumidiFi, fue atacado por bots durante su venta, lo que obligó al proyecto, con una FDV de 69 millones de dólares, a reiniciar la venta pública.

El tan esperado proyecto DEX de dark pool del ecosistema Solana, HumidiFi, sufrió lo que puede considerarse una “batalla de bots” digna de manual. En el instante en que se abrió la venta pública de su token WET, una granja de bots compuesta por miles de wallets precargadas, mediante operaciones por lotes, agotó en segundos los 20 millones de tokens disponibles para la venta pública, dejando a los miembros comunes de la comunidad completamente fuera de la participación.

Este incidente llevó al equipo del proyecto, tras recaudar 1,39 millones de dólares en USDC, a tomar la decisión de invalidar los tokens que habían sido cazados y desplegar de urgencia un nuevo contrato auditado, con la intención de relanzar la venta el 8 de diciembre. Este pulso entre ataque y defensa no solo pone a prueba la capacidad técnica y la reputación del equipo, sino que también saca a relucir el problema de la “venta justa” que afecta al ecosistema de Solana desde hace tiempo.

Derrota en segundos: una blitzkrieg de bots meticulosamente planificada

Para los muchos usuarios de la comunidad Solana que esperaban frente a la pantalla la venta pública del token WET de HumidiFi el 6 de diciembre, la experiencia fue una pesadilla. Cuando la ronda pública se abrió a la hora prevista, todo el proceso de asignación terminó en un abrir y cerrar de ojos. El análisis posterior del equipo mostró que no fue debido al exceso de entusiasmo de la comunidad, sino a un ataque organizado y altamente automatizado de bots. Los atacantes desplegaron con antelación miles de wallets, cada una cargada con exactamente 1.000 USDC, el límite individual de la venta pública.

El núcleo técnico del ataque reside en las “transacciones por lotes”. Los bots no enviaron órdenes de compra individuales, sino que agruparon múltiples órdenes en “bundles”. Según los informes, cada uno de estos bundles podía ejecutar compras por valor de 24.000 USDC, lo que equivale a unos 350.000 WET de una sola vez. Mediante el envío consecutivo de varios bundles, los atacantes vaciaron todas las plazas de la venta pública dentro del tiempo de confirmación de un solo bloque. Este “ataque de saturación” aprovecha la alta capacidad de Solana y deja sin margen de reacción a los usuarios humanos; el tan proclamado mecanismo de “primero en llegar, primero en ser servido” queda totalmente inutilizado ante una ventaja técnica tan abrumadora.

Las consecuencias de este ataque fueron devastadoras. No solo privó a los usuarios reales de participar, sino que hizo fracasar por completo el objetivo de una “lanzamiento justo”. El token WET ya había generado gran expectación en la preventa, y su precio en mercados secundarios pasó de los 0,069 dólares oficiales a 0,25 dólares. Sin embargo, cuando toda la liquidez potencial es monopolizada por una entidad desconocida, la salud futura del mercado del token y la confianza de la comunidad quedan en entredicho. El equipo se enfrentó a una decisión difícil: ¿admitir la derrota y dejar que los cazadores se lucren, o tomar medidas drásticas y empezar de nuevo?

Análisis técnico: cómo los bots manipulan el “primero en llegar, primero en ser servido”

Para entender por qué este ataque tuvo tanto éxito, hay que profundizar en los detalles técnicos de las transacciones en la red Solana. Los atacantes explotaron con precisión una vulnerabilidad potencial en los contratos DTF usados por Jupiter Launchpad. El ataque mostró varias características clave: escala (miles de wallets), sincronización (acción coordinada), y máxima eficiencia (operaciones por lotes). Se trata más bien de una operación militar coordinada que de un simple script de compra masiva.

Análisis de las características del ataque de bots

Escala del ataque: miles de wallets interconectadas

Fondos por wallet: 1.000 USDC (exactamente el límite de compra)

Técnica empleada: transacciones por lotes (Bundle Transactions)

Capacidad de compra por lote: aprox. 24.000 USDC / 350.000 WET

Duración del ataque: completado en cuestión de segundos

Vulnerabilidad: ausencia de filtros efectivos contra transacciones por lotes y ataques Sybil en el contrato

Contradicción fundamental: el mecanismo de “primero en llegar” en cadenas de alto TPS y la eficiencia de los bots están intrínsecamente desbalanceados

La esencia del ataque es cómo el capital y la eficiencia técnica aplastan el ideal comunitario de “igualdad para todos”. En una blockchain de alto rendimiento como Solana, donde la confirmación de transacciones se mide en milisegundos, lo que determina el éxito es qué programa se comunica mejor con los productores de bloques, quién optimiza mejor las rutas de transacción y quién dispersa más eficientemente su capital. La velocidad manual de los usuarios no puede competir con programas de bots altamente optimizados. El incidente expone un mal endémico del sector: muchos contratos de venta solo implementan límites de compra simples y carecen de defensas más profundas contra bots y ataques Sybil, como la detección de fuentes de fondos comunes, patrones similares de transacciones o ráfagas de compras excesivas en un instante.

La respuesta del equipo: anulación, auditoría, reinicio y compensación vía airdrop

Ante una situación de casi derrota total, la reacción del equipo de HumidiFi fue rápida y decidida. No optaron por el compromiso, sino que tomaron una decisión tajante contra los cazadores y responsable con la comunidad: invalidar completamente los tokens WET adquiridos y declarar que no tendrían valor ni se devolverían los fondos a las direcciones implicadas. Al mismo tiempo, el equipo comenzó de inmediato el despliegue de un nuevo contrato inteligente para el token.

Para asegurar el éxito del relanzamiento, el equipo implementó varias acciones de remedio. En primer lugar, colaboraron con el equipo de Temporal para reescribir el contrato de venta DTF y contrataron a la empresa de seguridad OtterSec para auditar exhaustivamente el código actualizado, con el objetivo de cerrar la vulnerabilidad explotada en el ataque de transacciones por lotes. En segundo lugar, para compensar a los auténticos seguidores, el equipo anunció que todos los usuarios que obtuvieron derecho a participar previamente —tanto los de la Wetlist como los apostadores de JUP— recibirían un airdrop proporcional bajo el nuevo contrato. Esto ayudó a mantener la base activa de la comunidad.

El equipo programó la nueva venta pública para el 8 de diciembre. Esta “segunda ronda” será la prueba definitiva de la capacidad técnica y de gestión de crisis de HumidiFi. Si la venta relanzada se desarrolla de manera fluida y justa, el equipo podrá recuperar su reputación; si vuelve a ser atacada, la credibilidad del proyecto sufrirá un golpe letal. Cabe destacar que el fundador de Jupiter, Meow, ha respaldado públicamente al equipo de HumidiFi antes y después del incidente, subrayando que sus miembros tienen experiencia en trading de alta frecuencia en firmas como Citadel, y son constructores clave de la infraestructura base de Solana (como Nozomi y Temporal). Esta sólida base técnica puede explicar su capacidad para organizar una contraofensiva tan rápidamente tras un evento de cisne negro.

Dolor en el ecosistema: el dilema irresoluble de las ventas justas en Solana DeFi

El caso de HumidiFi no es un hecho aislado; es solo un ejemplo extremo de las dificultades para lograr “ventas justas” en el ecosistema Solana y en todo DeFi. Con el aumento de la velocidad de las transacciones on-chain y la proliferación de herramientas, la brecha técnica entre equipos de bots profesionales y pequeños inversores se hace cada vez mayor. Los “scientists front-runners” y los “bots snipers” son la pesadilla de cualquier lanzamiento. Esto provoca varios círculos viciosos: la comunidad pierde confianza en las ventas públicas; los equipos recurren cada vez más a rondas privadas o institucionales, acentuando la centralización de la distribución de tokens; o surgen mecanismos de lanzamiento más complejos (y a veces más centralizados) como sorteos, rifas o sistemas de puntos.

El incidente también ha puesto a Jupiter, la plataforma colaboradora, en el punto de mira. Aunque Jupiter proporciona una plataforma de venta sencilla, la comunidad cuestiona si sus contratos ofrecen suficiente protección frente a ataques organizados. Esto lleva a una reflexión en todo el ecosistema: ¿deberían los proveedores de infraestructura ofrecer herramientas anti-bots más potentes y personalizables para los equipos? Por ejemplo, implementar verificaciones de identidad más complejas (como la verificación on-chain de Proof of Humanity), sistemas de reputación basados en el historial on-chain, o mecanismos dinámicos de subasta de gas para elevar el coste de los ataques.

En un plano más profundo, HumidiFi, que se presenta como un DEX de dark pool diseñado para prevenir el front-running y proteger al trader minorista, ha caído víctima del ataque de front-running más clásico en la venta de su propio token, lo cual resulta irónicamente revelador. Demuestra que, en el mundo cripto, construir un producto financiero complejo que proteja a los usuarios y proteger el propio proceso de lanzamiento del producto son dos batallas completamente diferentes.

Desde la devastadora emboscada ejecutada por bots en cuestión de segundos hasta la contundente y rápida reacción técnica del equipo de HumidiFi, esta guerra entre ataque y defensa ilustra con claridad la crudeza y realidad del sector DeFi en Solana. Trasciende el destino de un solo proyecto y se convierte en un debate público sobre la justicia técnica, la confianza comunitaria y el poder del capital. El resultado de la segunda venta de HumidiFi tendrá un significado simbólico que va más allá del propio proyecto: si tiene éxito, servirá como modelo para futuros equipos que enfrenten crisis similares; si fracasa, podría aumentar el pesimismo de la comunidad sobre la posibilidad de lanzamientos justos. En todo caso, este episodio recuerda profundamente a todos los participantes que, en la utopía de las finanzas descentralizadas, la justicia perfecta sigue siendo un lujo frágil que requiere defensa continua mediante tecnología y regulación. Y si un equipo con experiencia en trading de alta frecuencia e infraestructura a bajo nivel será capaz de construir un “escudo” con su propia “lanza”, será la trama más interesante a seguir a continuación.