Vendita di Humidifi sfruttata dai bot, nuovo lancio previsto per lunedì

La tanto attesa vendita pubblica di Humidifi è crollata in pochi secondi venerdì, dopo che un massiccio attacco di bot ha esaurito quasi istantaneamente l’intera allocazione. Il team ha confermato che gli utenti ordinari non hanno avuto alcuna possibilità reale di partecipare, poiché i wallet automatizzati hanno saturato la vendita al momento del lancio. Secondo Humidifi, l’attaccante ha utilizzato migliaia di wallet, ciascuno precaricato con 1.000 USDC.

Questi wallet hanno attivato transazioni in batch sul contratto DTF, consentendo acquisti di grande entità all’interno di una singola finestra di blocco. Ogni bundle avrebbe eseguito acquisti per 24.000 USDC, pari a circa 350.000 WET per lotto. Di conseguenza, una sola bot farm organizzata ha catturato l’intera fornitura in pochi secondi. I membri della community che attendevano il lancio sono rimasti completamente esclusi.

Il team annulla i token catturati e prepara un reset totale

Invece di accettare l’exploit, Humidifi ha deciso di invalidare l’intera vendita. Il team ha confermato che i token ottenuti tramite l’attacco non saranno riconosciuti e che quegli indirizzi riceveranno un’allocazione pari a zero in futuro. È in fase di distribuzione un nuovo contratto del token. Il team ha inoltre confermato che tutti gli utenti della Wetlist e gli staker di JUP qualificati per la vendita originale riceveranno un airdrop pro-rata con il nuovo contratto.

Questa decisione garantisce che gli utenti reali abbiano comunque accesso, nonostante il lancio fallito. Humidifi ha anche confermato che il team di Temporal ha riscritto il contratto DTF e che OtterSec ha completato un audit completo del codice aggiornato. L’obiettivo è impedire qualsiasi ripetizione di attacchi automatizzati a pacchetti durante la prossima vendita. Il nuovo lancio pubblico è ora programmato per lunedì. Il team condividerà ulteriori dettagli prima dell’apertura.

Come ha funzionato l’attacco on-chain

L’exploit si basava su velocità, batching e scala. Ogni wallet conteneva un saldo fisso in USDC. Invece di inviare ordini di acquisto individuali, l’attaccante ha creato istruzioni che funzionavano come “pulsanti di acquisto” precaricati. Quando la vendita è partita, più transazioni hanno eseguito sei istruzioni per transazione, consentendo di generare un volume enorme in un solo colpo.

Con diversi bundle inviati in rapida successione, l’intera fornitura è scomparsa prima che gli utenti umani potessero reagire. Questo metodo evidenzia un problema crescente nei lanci su Solana: l’esecuzione in batch e la proliferazione di wallet continuano a dominare le vendite pubbliche scarsamente protette. Senza solide protezioni a livello di contratto, anche i fair launch restano esposti al capitale automatizzato.

La fiducia della community vacilla, ma la risposta riduce i timori

La reazione di Humidifi è stata rapida e diretta. Invece di difendere il lancio fallito, il team ha ammesso l’errore e si è mosso subito per proteggere gli utenti reali. La decisione di rilanciare con codice sottoposto ad audit ed escludere gli indirizzi dei bot ha contribuito a smorzare le prime reazioni negative. Il tempismo è delicato: Humidifi era finita sotto critica per la sua struttura delle commissioni e la redditività, appena pochi giorni prima del crollo della vendita pubblica. Questo contesto ha reso il fallimento di venerdì ancora più dirompente all’interno della DeFi di Solana.

Nonostante ciò, il rapido reset dimostra che il team comprende i danni che un lancio controllato dai bot può causare. Se la vendita di lunedì procederà senza intoppi, potrebbe contribuire a ricostruire la fiducia. Se dovesse fallire di nuovo, la credibilità potrebbe sgretolarsi molto più velocemente. Al momento una cosa è chiara: i bot hanno vinto il primo round. Humidifi punta tutto sul conquistare il secondo.