La vente de Humidifi exploitée par des bots, nouveau lancement prévu lundi

La vente publique très attendue de Humidifi s’est effondrée en quelques secondes vendredi, après une attaque massive de bots qui ont siphonné l’ensemble de l’allocation presque instantanément. L’équipe a confirmé que les utilisateurs classiques n’avaient aucune réelle chance de participer, les portefeuilles automatisés ayant saturé la vente dès l’ouverture. Selon Humidifi, l’attaquant a utilisé des milliers de portefeuilles, chacun préchargé avec 1 000 USDC.

Ces portefeuilles ont déclenché des transactions groupées vers le contrat DTF, permettant des achats massifs dans une seule fenêtre de bloc. Chaque ensemble aurait exécuté l’équivalent de 24 000 USDC d’achats, soit environ 350 000 WET par lot. Résultat : une seule ferme de bots organisée a capturé l’intégralité de l’offre en quelques secondes. Les membres de la communauté qui attendaient le lancement ont été totalement exclus.

L’équipe annule les jetons capturés et prévoit une réinitialisation complète

Au lieu de laisser l’exploit en l’état, Humidifi a choisi d’invalider toute la vente. L’équipe a confirmé que les jetons achetés par les bots ne seront pas reconnus. Les adresses concernées ne recevront aucune allocation à l’avenir. Un nouveau contrat de jeton est en cours de déploiement. L’équipe a également confirmé que tous les utilisateurs inscrits sur la Wetlist et les stakers de JUP éligibles à la vente initiale recevront un airdrop au prorata via le nouveau contrat.

Cette décision garantit que les véritables utilisateurs conservent un accès, malgré l’échec du lancement. Humidifi a aussi confirmé que l’équipe de Temporal a réécrit le contrat DTF et qu’OtterSec a réalisé un audit complet du code mis à jour. L’objectif est d’éviter toute répétition d’attaques automatisées par lots lors de la prochaine vente. Le nouveau lancement public est désormais prévu pour lundi. Des détails supplémentaires seront communiqués avant l’ouverture.

Comment l’attaque a fonctionné on-chain

L’exploit reposait sur la vitesse, le regroupement et l’échelle. Chaque portefeuille détenait un solde fixe d’USDC. Au lieu d’envoyer des ordres d’achat individuels, l’attaquant a créé des instructions comparables à des « boutons d’achat » préchargés. Lorsque la vente s’est ouverte, plusieurs transactions ont exécuté six instructions chacune. Cela a permis d’exécuter un volume massif en une seule salve.

Avec plusieurs lots soumis les uns après les autres, l’offre entière a disparu avant que les utilisateurs humains puissent réagir. Cette méthode illustre un problème croissant dans les lancements sur Solana. L’exécution par lots et le farming de portefeuilles continuent de dominer les ventes publiques mal protégées. Sans protections solides au niveau des contrats, même les lancements dits équitables restent vulnérables au capital automatisé.

La confiance de la communauté touchée, mais la réaction de l’équipe apaise les craintes

La réaction de Humidifi a été rapide et directe. Plutôt que de défendre le lancement raté, l’équipe a reconnu l’échec et a immédiatement pris des mesures pour protéger les utilisateurs réels. La décision de relancer avec un code audité et d’exclure les adresses des snipers a contribué à calmer les premières critiques. Le timing est également sensible. Humidifi avait récemment été critiqué pour sa structure de frais et sa rentabilité, quelques jours seulement avant l’effondrement de cette vente publique. Ce contexte a rendu l’échec de vendredi encore plus marquant dans l’écosystème DeFi de Solana.

Néanmoins, la réinitialisation rapide montre que l’équipe mesure l’impact d’un lancement contrôlé par des bots. Si la vente de lundi se déroule sans incident, elle pourrait contribuer à restaurer la confiance. En cas de nouvel échec, celle-ci pourrait se dégrader beaucoup plus vite. À ce stade, une chose est claire : les bots ont remporté la première manche. Humidifi mise désormais tout sur la seconde.