Лидер среди DEX даркпулов на Solana, HumidiFi, подвергся атаке ботов во время запуска, из-за чего проект с FDV $69 млн был вынужден перезапустить публичную продажу.

Высокоожидаемый проект dark pool DEX HumidiFi из экосистемы Solana стал жертвой поистине учебниковой «бот-атаки снайперов». В момент публичной продажи токена WET бот-ферма, состоящая из тысяч заранее пополненных кошельков, с помощью пакетных транзакций за считанные секунды выкупила все 20 миллионов токенов, предназначенных для публичной продажи, полностью лишив обычных членов сообщества возможности участвовать.

Этот инцидент привёл к тому, что команда проекта, собрав 1,39 миллиона USDC, решительно объявила о недействительности уже выкупленных токенов и в экстренном порядке развернула новый, прошедший аудит контракт. Планируется повторный запуск продажи 8 декабря. Это противостояние стало испытанием не только технических возможностей и репутации команды, но и вновь вынесло на поверхность давнюю проблему «справедливых запусков» в экосистеме Solana.

Поражение за секунды: тщательно спланированная блицкриг-атака ботов

Для многих пользователей Solana, ожидавших публичную продажу токена HumidiFi WET, 6 декабря стал настоящим кошмаром. Когда раунд публичной продажи начался в назначенное время, весь процесс распределения закончился буквально в мгновение ока. Постфактум команда установила, что дело не в слишком высоком спросе, а в организованной, высокоавтоматизированной атаке ботов. Злоумышленники заранее подготовили тысячи кошельков, на каждый из которых было зачислено ровно по 1 000 USDC — максимально допустимая сумма для одного участника.

Ключевая технология атаки — «пакетные транзакции». Боты не отправляли отдельные ордера на покупку, а собирали их в «bundles» (пакеты). Сообщается, что каждый такой пакет позволял приобрести токены на сумму 24 000 USDC, что эквивалентно примерно 350 000 WET за раз. Отправив несколько таких пакетов подряд, злоумышленники за время одного блока полностью выкупили весь лимит публичной продажи. Такой «атакой насыщения», использующей высокую пропускную способность Solana, у обычных пользователей не было ни малейшего шанса отреагировать — «кто успел, тот и съел» в условиях экстремального технологического преимущества оказался фикцией.

Результаты атаки оказались разрушительными. Она не только лишила реальных пользователей возможности участия, но и свела на нет идею «справедливого запуска» проекта. Ещё на этапе пресейла токен WET вызвал большой интерес: внебиржевая цена подскочила с публичных $0,069 до $0,25. Но когда всю ожидаемую ликвидность монополизирует неизвестный субъект, говорить о будущем рынка токена и доверии сообщества не приходится. Перед командой встал сложный выбор: признать поражение и позволить снайперам заработать или решительно начать всё заново.

Технический разбор: как боты манипулируют правилом «кто первый, тот и купил»

Чтобы понять, почему атака оказалась столь успешной, нужно заглянуть в технические детали работы Solana. Злоумышленники точно использовали потенциальную уязвимость в механизме защиты контракта DTF, который работает на платформе Jupiter Launchpad. Атака отличалась несколькими ключевыми особенностями: масштаб (тысячи кошельков), синхронность действий (координация), максимальная эффективность (batch-транзакции). Это была скорее военная операция, чем обычный скрипт для покупки.

Анализ особенностей бот-атаки снайперов

Масштаб: тысячи связанных кошельков

Средства на одном кошельке: 1 000 USDC (ровно лимит публичной продажи)

Технология атаки: пакетные транзакции (Bundle Transactions)

Покупка в одном пакете: примерно 24 000 USDC / 350 000 WET

Время атаки: завершена за несколько секунд

Уязвимости: отсутствие эффективных фильтров batch-транзакций и защиты от «sybil-атак» на уровне смарт-контракта

Корневое противоречие: механизм «кто первый, тот и купил» на высоко-TPS блокчейне естественным образом проигрывает эффективности ботов

Суть атаки — в том, что капитал и технологическое преимущество раздавили идеал «равенства для всех». В высокопроизводительном блокчейне вроде Solana подтверждение проходит за миллисекунды, и на деле «кто первый» определяется тем, чья программа ближе к продюсеру блока, чей маршрут транзакций оптимизирован, и чей капитал максимально распределён. Обычные пользователи, кликающие мышкой, не могут соперничать с оптимизированными ботами. Этот инцидент выявил системную проблему: многие контракты предусматривают лишь базовые лимиты на покупку, но не защищают глубже — нет фильтрации по источникам средств, повторяющимся схемам или аномально крупным сериям транзакций за короткий срок.

Ответ команды: недействительность, аудит, перезапуск и компенсационные airdrop’ы

Оказавшись на грани провала, команда HumidiFi отреагировала быстро и жёстко. Они не пошли на компромисс, а приняли решение, суровое для снайперов и справедливое для сообщества: полностью обнулить все ранее выкупленные токены WET, объявив их бесполезными и не возвращая средства снайперам. Параллельно началась разработка нового смарт-контракта токена.

Чтобы повторный запуск прошёл успешно, команда предприняла ряд мер. Во-первых, совместно с командой Temporal был переписан контракт DTF, а обновлённый код прошёл тщательный аудит компанией OtterSec — это должно перекрыть уязвимости для подобных атак на техническом уровне. Во-вторых, чтобы компенсировать реальных участников, команда объявила: все пользователи, получившие право на участие ранее — включая белый список Wetlist и стейкеров JUP — получат пропорциональный airdrop в новом контракте. Это позволило сохранить лояльное ядро сообщества.

Новая публичная продажа назначена на 8 декабря. Этот «второй раунд» станет высшей проверкой технической компетенции и антикризисных навыков HumidiFi. Если повторная продажа пройдёт гладко и честно, команда сможет восстановить репутацию; если нет — доверию к проекту будет нанесён смертельный удар. Также стоит отметить, что основатель Jupiter Meow публично поддержал HumidiFi до и после атаки, подчеркнув опыт команды в высокочастотном трейдинге (Citadel и др.) и развитии Solana-инфраструктуры (Nozomi, Temporal). Такая техническая база, возможно, и позволила организовать столь быструю и жёсткую ответную кампанию.

Боль экосистемы: неразрешимая проблема справедливых продаж в Solana DeFi

Инцидент с HumidiFi — не единичный случай, а яркое проявление общей проблемы «справедливых запусков» не только в Solana, но и во всём DeFi. По мере роста скорости on-chain-транзакций и распространения специализированных инструментов, технологическая пропасть между ботами и рядовыми пользователями лишь увеличивается. «Сандвич-атаки» и бот-снайпинг стали головной болью для любого нового проекта. В итоге: сообщество утрачивает веру в публичные продажи; проекты вынуждены делать акцент на закрытых раундах и институциональных инвесторах, что ведёт к централизации распределения; появляются всё более сложные (и часто централизованные) механизмы запуска — лотереи, баллы, whitelist и прочие ограничения.

Инцидент поставил под удар и платформу Jupiter. Несмотря на удобство, возникает вопрос: достаточно ли её уровень защиты от высокоорганизованных атак? Это заставляет задуматься об обязанностях инфраструктурных провайдеров: должны ли они предлагать проектам более мощные и настраиваемые антибот-инструменты? Например, внедрение сложной верификации (on-chain Proof of Humanity), системы репутации на основе истории действий или динамических аукционов за gas для повышения стоимости атаки.

В более глубоком смысле, HumidiFi — как DEX с dark pool-механикой, специально созданный для защиты розничных трейдеров от снайперов и frontrun’а — сам оказался жертвой классической снайперской атаки на собственном запуске. Это иронично и служит серьёзным предупреждением: в криптомире защита пользователей — это одна война, а защита самого механизма запуска — совершенно другая.

От молниеносной разрушительной атаки ботов до быстрой и жёсткой контратаки HumidiFi с техническим перезапуском — эта борьба чётко иллюстрирует реальность и жестокость Solana DeFi. Это уже не просто история одного проекта, а открытый спор о технологической справедливости, доверии сообщества и власти капитала. Вторая продажа HumidiFi приобретает символическое значение: успех даст другим проектам рабочий антикризисный шаблон; неудача — усилит пессимизм по поводу честных запусков. Ясно одно: в мире децентрализованных финансов идеальная справедливость — хрупкая роскошь, которую бесконечно приходится защищать техниками и правилами. Сумеет ли команда с топовым опытом в HFT и инфраструктуре построить надёжный «щит» для своего «копья» — это будет самым интригующим сюжетом ближайших дней.