BONK.funで何が起きたのか:事件の経緯と復旧後のアップデート
先週はSolanaとmemecoinのエコシステムにとって厳しい1週間でした。とくにBONK.funで起きた件が大きな話題になっています。このlaunchpadは1週間あまりオフラインの状態でしたが、最近になって復旧し、多くのアップデートとともに戻ってきました。
この記事では、Bonkに何が起きたのか、なぜしばらくダウンしていたのか、そしてmemecoin戦線に戻ってくるために何をしたのかを解説していきます。
BONK.funで何が起きたのか:hijackedとdrainer
3月11日、Bonkのサイトに直接影響するインシデントが報告されました。これはsmart contract側の不具合ではなく、ドメインサービスプロバイダーに対するソーシャルエンジニアリングによって行われたドメインハイジャック(hijacked)でした。
これにより攻撃者がサイトを乗っ取り、一部のユーザーが有害なインタラクションに署名するよう仕向けるプロンプトを表示できる状態になりました(典型的なdrainerの手口ですが、フロントエンドから実行された点が特徴です)。
より理解を深めるために、この種の攻撃の流れと、それがユーザーにどう影響するのかを簡単に振り返ってみましょう。
- Bonkのフロントが差し替えられました。悪意ある人物にコントロールを握られたためです。
- ユーザーは公式サイトにいると思い込み、ウォレットを接続してさまざまな操作を行いました。
- 偽のコントラクトに署名してしまい、その瞬間にdrainerが発動しました。
- ウォレットの資金は別のアカウントに送金され、その後追跡が困難なかたちで散らされていきました。
この異常を検知したBonkチームは、問題を解決するためにドメインを一時的に停止するという判断を下しました。launchpadが1週間あまりアクセス不能だったのはこのためです。
復旧の流れとチームからの公式アナウンス
その後のアップデートでBONK.funが説明したところによると、プロバイダーへの攻撃の結果としてドメインが外部のレジストラに移管されてしまったものの、内部システム、コードリポジトリ、チームのアカウントはいずれも侵害されなかったとのことです。
被害規模については、声明を取り上げた複数の記事で30,000 USD前後と推定されており、被害を受けたユーザーには110%の返金プランが用意されたと報じられています(そう、トラブルのお詫びとして10%上乗せして返金しています)。あわせて、メインドメインのコントロールも取り戻したと発表されました。
また、以前にwalletを接続していたユーザーが必ずしも被害に遭ったわけではないこと、そして外部ターミナルからBonk関連トークンとやり取りしていたユーザーもこの件に関してはリスクの範囲外だったことが明確に説明されています。
Bonkは3月20日から稼働を再開しています。すでにlaunchpadにアクセスして、すべての機能を問題なく利用できる状態です。
Bonk.funの最新アップデート
興味深いのは、運用が安定したあとにBONK.funがBalanced Modeでインセンティブ設計を整えるという新機能を発表したことです。アナウンスでは2軸の仕組みが説明されています。
- トレーダー向け:ボンディング後volumeの0.75%が自動的にliquidity poolに積み増され、より厚みのあるLP(およそ4倍と説明されています)とtokenの持続性の改善を狙います。
- ディプロイヤー/クリエイター向け:bonding curveのvolumeの0.25%が報酬プールに集められ、24時間ごとに、その期間中にbondを成功させたクリエイターたちに分配されます。
ここで言う「bondを成功させる」というのは、Bonkのtokenをgraduateさせること、つまりbonding curveを突破することに他なりません。
このアップデートが重要なのは、launchpadにありがちな2つの課題に正面から取り組んでいるからです。具体的には、graduate後の流動性不足と、tokenが市場で動き始めた途端にクリエイターへの還元が途絶えるという問題です。結果を保証するものではありませんが、tokenがより良い市場環境(LPの厚み)を得られるようにし、クリエイターには実際の成果(bond)に紐づいた継続的なインセンティブを用意する、という設計面の調整であることは間違いありません。
Bonk.funのエコシステムに参加したい方は、Bonkでmemecoinを作成する方法を解説したこちらのガイドをチェックしてみてください。
memecoinをbond成功まで持っていくには
今こそ、Bonkでbonding curveを突破することの重要性がこれまで以上に高まっています。報酬プールは24時間以内にこれを達成したクリエイター全員に均等に分配されます。
この資金はグロース施策の原資として最適で、リーチできる範囲を大きく広げてくれます。簡単そうに聞こえますが、現実には勝てるmemecoinを生み出すのは決してかんたんではありません。bondingを突破できるmemecoinは全体の3%にも満たないのが実情です。
だからこそ、BONKのvolume botの使い方ガイドに目を通すことをおすすめします。最もトレードされているトークンの一覧に食い込み、ホームページの最上段に表示させるためのツールです。
露出が増える=潜在的な投資家へのリーチが広がる
hijacked siteのリスクを減らすためにできること
ドメイン設定を悪用したフロントのなりすましは、誰の身にも起こりうる問題です。プロトコルやスマートコントラクトを侵害するのではなく、一定の時間だけプラットフォームへのアクセス経路をすり替えるタイプの攻撃です。
今後同じようなケースでリスクを抑えるために、いくつかのポイントを紹介します。
- ブックマークを活用すること。DMで送られてきたリンクは絶対に踏まないでください。
- エコシステムのプラットフォームで何かに署名する前に、「続行するために署名」「利用規約に同意するために署名」といった怪しい署名要求は無視するようにしましょう。
- プラットフォームで、ボタンの配置がおかしい、テキストのフォントが違うといった違和感に気づいたら、そのサイトが乗っ取られているサインかもしれません。
- 公式SNSを常にチェックしておきましょう。Bonkも問題を検知して被害を抑え込んだあと、すぐにレポートを公開しました。
FAQ
今回のインシデント発生から復旧まで、Bonkに関するアップデートをずっと追ってきました。そこでよくある質問をまとめて、以下に回答していきます。
BONKに何が起きたのか?
3月11日、プロバイダーへのソーシャルエンジニアリングによってドメインが乗っ取られる事案が報告されました。これにより悪意あるインターフェースが差し込まれ、wallet drainerとして動作する状態になっていました。現在はプラットフォームは復旧して稼働中です。
BONKのsmart contractはハッキングされたのか?
公式の発表では、オンチェーンのプロトコル側の不具合ではないと強調されており、あくまでドメインとフロントエンドのインシデントだったとしています。社内システムやリポジトリへの影響もなかったと説明されています。
サイト復旧後、BONK.funは何をしたのか?
今回の脆弱性で被害を受けたユーザーに対して、110%での払い戻しを実施しました(被害額は約30,000 USDと推定)。代替ドメインも用意され、Bonk以外の手段を使っていたユーザーはリスクの対象外であると説明されています。
balanced modeとは何か、何が変わるのか?
ボンディング後のvolumeの0.75%をLPに振り向けて流動性を厚くし、bonding curveの0.25%をプールに回して、bondを成功させたクリエイターに24時間ごとに分配するモードです。
まとめ
BONK.funで起きた一連の出来事は、Web3におけるセキュリティがsmart contractだけで完結するものではないこと、そしてドメインとフロントエンドこそが最も脆い部分になり得ることを改めて示しました。今回の復旧は、公開アナウンス、補償プラン、代替ドメインによる事業継続とセットで進められ、さらに「ポストインシデント」として注目すべきアップデートも加わりました。それがBalanced Modeで、流動性の強化と、tradersとクリエイターのインセンティブのアラインを狙ったものです。
Bonk.funで時価総額1M超えのmeme coinをローンチするための無料E-Bookを受け取ろう
ステップバイステップの手順、必須ツール、スケールさせる方法、ベストプラクティスまで網羅
