Le leader des DEX dark pools sur Solana, HumidiFi, a vu sa vente être ciblée par des bots ; le projet, valorisé à 69 millions de dollars FDV, a été contraint de relancer la vente publique.

Le projet DEX à dark pool HumidiFi, très attendu dans l’écosystème Solana, a récemment fait l’objet d’une attaque de « sniper bots » digne d’un cas d’école. Au moment de l’ouverture de la vente publique de son jeton WET, une ferme de robots composée de milliers de portefeuilles préalablement approvisionnés a raflé l’intégralité des 20 millions de jetons alloués à la vente publique en quelques secondes via des transactions en lot, empêchant totalement les membres ordinaires de la communauté de participer.

Suite à cet incident, l’équipe du projet a décidé d’annuler les jetons acquis par les bots après avoir levé 1,39 million de dollars USDC, et a déployé en urgence un nouveau contrat audité, prévoyant de relancer la vente le 8 décembre. Cette attaque et la riposte qui s’en est suivie mettent à rude épreuve les compétences techniques et la crédibilité de l’équipe, tout en mettant en lumière le problème de « fair launch » qui persiste de longue date dans l’écosystème Solana.

Déroute en quelques secondes : une blitzkrieg robotisée soigneusement orchestrée

Pour de nombreux membres de la communauté Solana qui attendaient devant leur écran la vente publique du WET d’HumidiFi le 6 décembre, l’expérience s’est apparentée à un cauchemar. Dès l’ouverture de la vente à l’heure prévue, tout le processus d’allocation s’est achevé en un clin d’œil. Après analyse, l’équipe du projet a constaté qu’il ne s’agissait pas d’un engouement trop fort, mais d’une attaque organisée et hautement automatisée de bots. Les attaquants avaient déployé à l’avance des milliers de portefeuilles, chacun approvisionné précisément avec 1 000 USDC, soit le plafond individuel de la vente.

Le cœur de l’attaque résidait dans les « transactions en lot ». Au lieu d’envoyer un ordre d’achat individuel, les bots ont groupé plusieurs ordres en « bundles de transactions ». Selon les rapports, chaque bundle pouvait effectuer l’équivalent de 24 000 USDC d’achats, soit environ 350 000 jetons WET en une seule opération. En soumettant de multiples bundles consécutifs, les attaquants ont vidé tous les quotas disponibles en un seul temps de confirmation de bloc. Cette « attaque de saturation » exploitant la haute capacité de Solana, a laissé les utilisateurs humains sans aucune chance de réagir : le mécanisme prétendument « premier arrivé, premier servi » s’est effondré face à une supériorité technique extrême.

Les conséquences de cette attaque ont été dévastatrices. Non seulement elle a privé les véritables utilisateurs de toute opportunité de participation, mais elle a aussi complètement sapé la vision d’un « lancement équitable » du projet. Le jeton WET avait déjà attiré une forte attention lors de la prévente, son prix OTC ayant grimpé de 0,069 $ à 0,25 $. Mais avec toute la liquidité accaparée par une entité inconnue, impossible de parler de santé de marché ou de confiance communautaire. L’équipe du projet s’est retrouvée face à un choix difficile : accepter la défaite et laisser les snipers empocher le profit, ou tout reprendre à zéro, quitte à prendre une décision radicale.

Analyse technique : comment les bots ont détourné la règle « premier arrivé, premier servi »

Pour comprendre le succès de cette attaque, il faut plonger dans les détails techniques des transactions sur Solana. Les attaquants ont exploité avec précision les faiblesses potentielles des contrats DTF de Jupiter Launchpad au niveau de la protection. Leur mode opératoire présente plusieurs caractéristiques clés : ampleur (milliers de portefeuilles), synchronisation (action coordonnée), efficacité maximale (transactions en lot). Il s’agissait davantage d’une opération militaire coordonnée que d’un simple script de « sniping ».

Analyse des caractéristiques des attaques de bots snipers

Ampleur : des milliers de portefeuilles interconnectés

Solde par portefeuille : 1 000 USDC (exactement le plafond individuel)

Technique d’attaque : transactions en lot (Bundle Transactions)

Puissance d’achat par lot : environ 24 000 USDC / 350 000 WET

Durée de l’attaque : quelques secondes

Failles de défense : absence de filtrage efficace contre les transactions en lot et les attaques Sybil au niveau du contrat

Problème fondamental : inégalité structurelle entre la règle « premier arrivé, premier servi » sur une blockchain haute TPS et l’efficacité des bots

Au fond, cette attaque illustre l’écrasement de l’idéal communautaire d’égalité par la puissance du capital et la sophistication technique. Sur une blockchain aussi performante que Solana, les confirmations de transactions se jouent en millisecondes. En réalité, la règle du « premier arrivé, premier servi » récompense le mieux programmé, le plus proche du producteur de blocs, celui qui optimise le mieux son chemin transactionnel, ou qui parvient à disperser son capital de façon optimale. Face à des bots optimisés, le clic manuel d’un utilisateur ordinaire ne fait pas le poids. Cet événement révèle une faille courante dans l’industrie : de nombreux contrats de vente ne prévoient qu’une simple restriction d’achat, sans mécanismes avancés anti-Sybil et anti-bot, tels que la détection de sources de fonds identiques, de modèles transactionnels similaires ou de rafales d’achats anormalement élevées.

La riposte de l’équipe : annulation, audit, redémarrage et airdrop compensatoire

Face à cette quasi-déroute, l’équipe HumidiFi a réagi avec une rapidité et une fermeté notables. Plutôt que de céder, elle a pris une décision dure envers les snipers et responsable vis-à-vis de la communauté : annuler purement et simplement les jetons WET acquis lors de la première vente, déclarer leur absence totale de valeur et refuser tout remboursement aux adresses des snipers. Dans la foulée, l’équipe a commencé à déployer un tout nouveau contrat intelligent pour le jeton.

Pour garantir le succès de cette relance, l’équipe a pris plusieurs mesures correctives. Elle a d’abord collaboré avec l’équipe Temporal pour réécrire le contrat DTF de vente, puis mandaté la société de sécurité OtterSec pour un audit complet du code mis à jour, afin de colmater à la racine les failles ayant permis l’attaque par transactions en lot. De plus, pour réparer le préjudice subi par les véritables soutiens du projet, l’équipe a annoncé que tous les utilisateurs ayant obtenu le droit de participer — y compris les membres de la Wetlist et les stakers JUP — recevraient un airdrop proportionnel sur le nouveau contrat. De quoi limiter la casse au sein de la communauté.

La nouvelle vente publique est prévue pour le 8 décembre. Ce « round 2 » sera l’ultime test des compétences techniques de l’équipe HumidiFi et de sa capacité à gérer une crise. Si la relance se déroule de façon fluide et équitable, l’équipe pourra regagner sa crédibilité. En cas de nouvel échec, la confiance dans le projet pourrait être irrémédiablement compromise. Il convient de noter que Meow, le fondateur de Jupiter, a publiquement soutenu l’équipe HumidiFi avant et après l’incident, mettant en avant l’expertise du groupe en trading haute fréquence chez Citadel et leur rôle clé dans le développement de l’infrastructure Solana (Nozomi, Temporal, etc.). Cette profondeur technique explique sans doute leur capacité à organiser une contre-attaque rapide face à un « cygne noir ».

Malaise de l’écosystème : l’impasse des ventes publiques équitables sur Solana DeFi

L’affaire HumidiFi n’est pas isolée : elle illustre de façon extrême l’impasse actuelle des « fair launch » dans l’écosystème Solana et plus largement dans la DeFi. Avec l’accélération des transactions on-chain et la démocratisation des outils, le fossé technique entre équipes de bots professionnelles et investisseurs particuliers ne fait que se creuser. Le « sniping scientifique » et les attaques de bots sont devenus le cauchemar des lancements de projets. Cela entraîne plusieurs cercles vicieux : la communauté perd confiance dans les ventes publiques ; les équipes privilégient les tours privés ou institutionnels, accentuant la centralisation de la distribution des tokens ; ou bien émergent des mécanismes d’émission plus complexes (et parfois plus centralisés), comme la loterie, les tirages au sort, les systèmes de points, etc.

Cet incident a également mis la plateforme Jupiter sous le feu des projecteurs. Bien que Jupiter facilite l’organisation de ventes, la question de savoir si son niveau de protection par défaut est suffisant face à des attaques organisées reste posée. Cela pousse l’écosystème à s’interroger : les fournisseurs d’infrastructures doivent-ils offrir aux équipes des outils anti-bot et anti-Sybil plus robustes et personnalisables ? Par exemple, via des vérifications d’identité plus poussées (comme la Proof of Humanity on-chain), des systèmes de réputation basés sur l’historique on-chain, ou des mécanismes d’enchères dynamiques sur le gas pour augmenter le coût des attaques.

Plus profondément, HumidiFi, qui se positionne comme un DEX « dark pool » visant à empêcher le frontrunning et à protéger les investisseurs particuliers, a vu la vente de son propre token tomber sous l’attaque classique du frontrunning, ce qui n’est pas dénué d’ironie ni de portée symbolique. Cela démontre que dans l’univers crypto, construire un produit financier complexe pour protéger les utilisateurs et protéger le processus de naissance de ce produit sont deux batailles d’une tout autre nature.

Du sniping dévastateur réalisé en quelques secondes par les bots à la contre-attaque rapide et technique de l’équipe HumidiFi, cette bataille met en lumière toute la brutalité et le réalisme du secteur DeFi sur Solana. Au-delà du sort d’un projet, elle s’impose comme un débat public sur l’équité technique, la confiance communautaire et le pouvoir du capital. L’issue du second lancement d’HumidiFi aura une portée symbolique dépassant le cadre du projet : en cas de succès, elle servira de référence pour la gestion de crises similaires à l’avenir ; en cas d’échec, elle accentuera encore le pessimisme autour des « fair launch ». Dans tous les cas, cet épisode rappelle à tous que dans l’utopie de la finance décentralisée, la parfaite équité reste un luxe fragile, à défendre sans relâche par la technique et la gouvernance. Quant aux équipes dotées d’un background en trading haute fréquence et en développement d’infrastructure, leur capacité à ériger un « bouclier » à la hauteur de leur « épée » sera le prochain épisode à suivre de près.