Что случилось с BONK.fun: разбор ситуации и обновления после возвращения

Прошлая неделя выдалась непростой для экосистемы Solana и memecoin’ов, особенно из-за ситуации с BONK.fun. Этот launchpad пробыл offline чуть больше недели и недавно вернулся обратно (причём с целым рядом нововведений).

В этой статье разберём, что произошло с Bonk, почему сервис был недоступен какое-то время и что команда сделала, чтобы вернуться в гонку memecoins.

Что случилось с BONK.fun: hijacked и drainer

11 марта был зафиксирован инцидент, напрямую затронувший сайт Bonk. Речь шла не о баге в smart contract, а о перехвате домена (hijacked), который провернули через социальную инженерию против провайдера доменных услуг.

Это позволило злоумышленнику взять контроль над сайтом и показывать пользователям поддельные запросы на подпись (классический паттерн drainer, реализованный на уровне frontend).

Чтобы лучше разобраться, кратко пройдёмся по хронологии таких атак и тому, как они бьют по пользователям:

1. Фронтенд Bonk был подменён злоумышленником, получившим контроль над доменом.
2. Пользователи думали, что находятся на официальном сайте, и подключали кошельки как обычно.
3. Подписывали поддельный контракт, что активировало drainer.
4. Средства с кошельков были переведены на другие аккаунты, чтобы замести следы.

Обнаружив аномалию, команда Bonk приняла решение временно приостановить работу доменов до устранения проблемы. Именно поэтому launchpad оставался недоступен чуть больше недели.

Как проходило восстановление и что сообщила команда?

В последующем обновлении BONK.fun пояснил, что домен был переведён на внешнего регистратора в результате атаки на провайдера, и что внутренние системы, репозитории кода и аккаунты команды скомпрометированы не были.

По данным нескольких публикаций, ущерб составил около 30.000 USD; для пострадавших пользователей запустили план возврата в размере 110% (то есть к сумме ущерба добавили ещё 10% в качестве компенсации). Кроме того, сообщалось о восстановлении контроля над основным доменом.

Также уточнялось, что пользователи, которые ранее уже подключали свой wallet, не обязательно оказались под угрозой, а те, кто взаимодействовал с токенами Bonk через внешние платформы, также находились вне зоны риска.

Bonk работает в штатном режиме с 20 марта, так что можешь заходить на launchpad и пользоваться всеми функциями без ограничений.

Обновления по Bonk.fun

Интересная деталь: после того как работа сервиса стабилизировалась, BONK.fun объявил об обновлении, нацеленном на выравнивание стимулов через Balanced Mode. В анонсе описан двойной механизм:

• Для трейдеров: 0,75% от объёма после bonding автоматически направляется в liquidity pools, чтобы обеспечить более глубокий LP (~4x) и устойчивость token.
• Для deployers/создателей: 0,25% от объёма bonding curve поступает в пул наград и каждые 24 часа распределяется между теми, кто успешно закрыл bonds в этом окне.

Под «успешными bonds» имеется в виду graduation token на Bonk или прохождение bonding curve.

Это изменение важно, потому что оно закрывает два типичных слабых места launchpad’ов: нехватку ликвидности после graduation и нулевую преемственность для создателей, как только token выходит на открытый рынок. Не обещая конкретных результатов, это всё же дизайнерская корректировка: она даёт token более глубокий LP, а создателю обеспечивает операционный стимул, привязанный к реальным bonds.

Если хочешь стать частью экосистемы Bonk.fun, рекомендую посмотреть это руководство по созданию memecoin на Bonk.

Как превратить memecoin в успешный bond

Сейчас, как никогда, важно пройти bonding curve на Bonk. Reward pool делится поровну между всеми создателями, которым это удалось, в течение 24 часов.

Эти средства идеально подходят для финансирования кампаний роста и расширения охвата. Звучит просто, но на деле создать успешный memecoin непросто. Менее 3% memecoins проходят bonding.

Именно поэтому советую ознакомиться с нашим гайдом по volume bot на BONK. Инструмент, который выводит тебя в список самых торгуемых токенов и размещает первым на главной странице.

Больше охвата = больше потенциальных инвесторов

Как снизить риски от hijacked sites?

Подмена фронтенда через настройки домена. Это проблема, с которой может столкнуться кто угодно. Речь не о компрометации протоколов или smart contracts, а о временной замене доступа к платформе.

Чтобы снизить риски на случай подобных ситуаций, держи несколько советов:

• Используй закладки и никогда не переходи по ссылкам, которые тебе присылают в личку.
• Взаимодействуя с платформами экосистемы, игнорируй подозрительные запросы на подпись транзакций, вроде «подпишите, чтобы продолжить» или «подпишите, чтобы принять условия соглашения».
• Если на платформе что-то выглядит не так: кнопки не на своём месте или шрифт изменился, это может быть признаком того, что страница скомпрометирована.
• Следи за официальными соцсетями. Bonk опубликовал отчёт сразу после обнаружения проблемы и принятия мер по её устранению.

FAQ

Я следил за всеми обновлениями ситуации вокруг Bonk с самого начала инцидента до его разрешения. Поэтому собрал самые частые вопросы и отвечаю на них ниже.

Что случилось с BONK?

11 марта был зафиксирован захват домена через социальную инженерию против одного из провайдеров, что позволило внедрить вредоносный интерфейс с поведением wallet drainer. Сейчас платформа работает в штатном режиме.

Взломали ли smart contract BONK?

В официальных заявлениях подчёркивается, что сбоя в on-chain протоколе не было: произошёл инцидент на уровне домена и frontend. Внутренние системы и репозитории при этом не пострадали.

Что сделал BONK.fun после восстановления сайта?

Всем пострадавшим пользователям выплатили компенсацию в размере 110% от потерь (ущерб оценивается в 30 000 USD). Параллельно был запущен резервный домен, а команда пояснила: те, кто использовал альтернативные каналы помимо Bonk, рисков не несут.

Что такое balanced mode и что он меняет?

Режим, при котором 0,75% от post-bonding объёма направляется в LP для углубления ликвидности, а 0,25% от bonding curve поступает в pool, распределяемый каждые 24 часа среди создателей с успешными bonds.

Итог

То, что произошло с BONK.fun лишний раз напомнило: в Web3 безопасность не заканчивается на уровне smart contract. Домен и frontend могут оказаться самым слабым звеном. Выход из ситуации сопровождался публичными заявлениями, планом компенсаций и запуском резервного домена, а постинцидентный период принёс важное обновление: Balanced Mode, призванный укрепить ликвидность и согласовать интересы трейдеров с интересами создателей токенов.