Лідер серед DEX даркпулів Solana, HumidiFi, зазнав атаки ботів під час продажу, через що проект з FDV у 69 мільйонів доларів був змушений перезапустити публічний продаж.

Довгоочікуваний проєкт dark pool DEX HumidiFi в екосистемі Solana став жертвою справжньої “роботизованої снайперської атаки” за підручником. У момент публічного продажу токена WET, бот-ферма з тисяч попередньо поповнених гаманців шляхом пакетних транзакцій за лічені секунди викупила всі 20 мільйонів токенів, що продавалися, повністю позбавивши звичайних учасників спільноти можливості брати участь.

Після цієї події команда проєкту, зібравши 1,39 млн USDC, вирішила анулювати вже снайперськи викуплені токени, терміново розгорнула новий аудитований смарт-контракт і оголосила про перезапуск продажу 8 грудня. Це протистояння стало випробуванням як технічної майстерності й репутації команди, так і винесло на перший план стару для Solana проблему “справедливого розподілу”.

Поразка за секунди: ретельно спланована блискавична атака ботів

Для багатьох учасників спільноти Solana, що стежили за запуском публічного сейлу WET від HumidiFi 6 грудня, цей досвід став справжнім кошмаром. Як тільки стартував раунд продажу, весь процес розподілу завершився за мить. Згідно з аналізом проєктної команди, причиною була не надмірна ажіотажність спільноти, а організована та високоавтоматизована атака ботів. Зловмисники заздалегідь підготували тисячі гаманців, кожен з яких мав рівно 1000 USDC — саме стільки становила індивідуальна межа участі.

Ключовою технологією атаки стали “пакетні транзакції”. Боти не надсилали один запит на купівлю, а об’єднували кілька запитів в один “бандл”. За повідомленнями, кожен такий бандл дозволяв придбати токенів на 24 000 USDC (близько 350 000 WET) за одну операцію. Подаючи кілька таких бандлів поспіль, снайпери спустошили весь публічний пул за один блок — за лічені секунди. Така “насичена атака”, що використовує високу пропускну здатність Solana, не залишила живим користувачам жодного шансу на реакцію — “перший прийшов — перший отримав” виявився лише ілюзією на тлі технологічної переваги ботів.

Наслідки цієї атаки були руйнівними. Вона не лише позбавила справжніх користувачів права на участь, а й повністю зруйнувала ідею “справедливого запуску” проєкту. На стадії пресейлу WET вже викликав величезний інтерес — позабіржова ціна злетіла з 0,069 до 0,25 долара. Але коли всю ліквідність монополізує невідома структура, говорити про здоровий ринок і довіру спільноти вже не доводиться. Перед командою постало жорстке питання: визнати поразку й дати снайперам нажитися, чи піти на радикальні заходи й почати все спочатку?

Технічний розбір: як боти маніпулюють правилом “хто перший — того й токен”

Щоб зрозуміти успіх цієї атаки, треба розглянути технічні деталі транзакцій у Solana. Снайпери майстерно використали слабкі місця DTF-контракту на платформі Jupiter Launchpad. Їхня тактика мала кілька ключових ознак: масовість (тисячі гаманців), синхронність (скоординовані дії), максимальна ефективність (пакетні транзакції). Це радше військова операція, а не звичайний скрипт для купівлі.

Аналіз ознак снайперської атаки ботів

Масштаб: тисячі зв’язаних гаманців

Кошти на гаманець: 1 000 USDC (максимальний ліміт для сейлу)

Технологія: пакетні транзакції (Bundle Transactions)

Потужність одного пакета: ~24 000 USDC / 350 000 WET

Тривалість атаки: кілька секунд

Вразливість: на рівні контракту відсутній захист від пакетних транзакцій і “відьминої атаки”

Фундаментальна проблема: “перший прийшов” у високошвидкісній мережі автоматично віддає перевагу ботам перед людьми

Суть атаки — це домінування капіталу й технологій над ідеалом “рівних можливостей” для спільноти. На високопродуктивному блокчейні Solana підтвердження триває мілісекунди, і справжню конкуренцію тут виграє той, чий скрипт ближчий до продюсерів блоків, чий маршрут оптимізовано краще й чий капітал розподілено ширше. Звичайний користувач з кнопкою не може конкурувати з оптимізованим ботом. Це висвітлює типову проблему індустрії: більшість контрактів обмежуються простим лімітом на купівлю, але не мають глибшого захисту від ботів і “відьом”, як-от перевірка джерела коштів, схожих транзакцій або моментальних надвеликих пакетів.

Контратака команди: анулювання, аудит, рестарт і компенсаційний airdrop

Стикнувшись із майже повною поразкою, команда HumidiFi відреагувала швидко й рішуче. Вони не пішли на компроміс, а прийняли жорстке й відповідальне перед спільнотою рішення: повністю анулювати снайперські токени, визнати їх “сміттям” і не повертати кошти на адреси ботів. Одразу ж стартувала розробка нового смарт-контракту.

Щоб гарантувати успіх рестарту, команда здійснила кілька кроків. По-перше, разом із командою Temporal було переписано DTF-контракт, а безпеку нового коду перевірила компанія OtterSec, щоб унеможливити аналогічні атаки. По-друге, для компенсації реальних прихильників команда пообіцяла airdrop — усі, хто мав право брати участь раніше (власники whitelist Wetlist і стейкери JUP), отримають пропорційні токени в новому контракті. Це дозволило втримати ядро спільноти.

Новий публічний сейл призначено на 8 грудня. Це стане справжнім іспитом для HumidiFi — як щодо технологій, так і щодо кризового менеджменту. Якщо запуск пройде справедливо й спокійно, команда відновить репутацію; якщо знову програє ботам — проект втратить довіру. Важливо, що засновник Jupiter Meow публічно підтримав HumidiFi, наголошуючи на їхньому досвіді у високочастотному трейдингу (Citadel) і розробці критичної інфраструктури для Solana (Nozomi, Temporal). Саме ця технічна база дала їм змогу так швидко організувати контратаку після “чорного лебедя”.

Проблема екосистеми: нерозв’язна дилема “справедливого сейлу” в Solana DeFi

Випадок HumidiFi — не поодинокий, а радше крайній прояв загальної проблеми “справедливого розподілу” в Solana і всьому DeFi. Зі зростанням швидкості ланцюга й поширенням інструментів, розрив між професійними ботами й роздрібними користувачами лише збільшується. “Форвард-ранінг” і “снайперські боти” стали головним болем для будь-якого запуску. Це породжує ланцюг шкідливих наслідків: спільнота втрачає віру в публічні сейли; команди вимушені робити більше приватних чи інституційних раундів, посилюючи централізацію; або ж придумують складніші (й часто менш децентралізовані) механіки — лотереї, балові системи тощо.

Ця подія також піддала сумніву Jupiter як платформу — чи достатній рівень захисту пропонує їхній контракт для протидії організованим атакам? Це спонукало екосистему задуматися: чи не варто інфраструктурним проєктам впроваджувати потужніші антибот-інструменти? Наприклад, складніші верифікації особистості (як Proof of Humanity), рейтингові системи на основі історії транзакцій чи динамічні gas-аукціони для підвищення вартості атаки.

Ще іронічніше, що HumidiFi — як DEX, націлений на “dark pool” і захист ритейлу від фронт-ранінгу, — сам постраждав саме від класичної атаки на первинний розподіл токенів. Це показує: у криптосвіті побудувати захищений фінансовий продукт і захистити сам сейл цього продукту — дві абсолютно різні битви.

Від блискавичної снайперської атаки до стрімкої контратаки й технічного рестарту — ця боротьба оголила весь драматизм і реалії Solana DeFi. Це вже не просто історія одного стартапу, а відкрита дискусія про технологічну справедливість, довіру й владу капіталу. Другий сейл HumidiFi стане символічним: якщо він пройде успішно — інші команди отримають цінний досвід; якщо ні — скепсис щодо “справедливого старту” лише посилиться. У будь-якому випадку, цей кейс наочно доводить: у світі децентралізованих фінансів абсолютна справедливість — це крихка розкіш, яку щодня потрібно захищати технологіями та правилами. І чи зможе команда з бекграундом у HFT та розробці інфраструктури побудувати власний “щит” проти найсучаснішої “списи” — це головна інтрига наступного розділу цієї історії.