La venta de Humidifi fue explotada por bots, nuevo lanzamiento programado para el lunes

La tan esperada venta pública de Humidifi colapsó en cuestión de segundos el viernes, después de que un ataque masivo de bots drenara toda la asignación casi al instante. El equipo confirmó que los usuarios habituales no tuvieron ninguna posibilidad real de participar, ya que monederos automatizados saturaron la venta en el momento del lanzamiento. Según Humidifi, el atacante utilizó miles de monederos, cada uno precargado con 1.000 USDC.

Estos monederos ejecutaron transacciones por lotes en el contrato DTF, permitiendo compras masivas en una sola ventana de bloque. Se informa que cada lote ejecutó compras por un valor de 24.000 USDC, lo que equivale a aproximadamente 350.000 WET por lote. Como resultado, una única granja de bots organizada capturó toda la oferta en segundos. Los miembros de la comunidad que esperaban el lanzamiento quedaron completamente excluidos.

El equipo anula los tokens capturados y planea un reinicio total

En lugar de permitir que el exploit se mantuviese, Humidifi optó por invalidar toda la venta. El equipo confirmó que los tokens obtenidos por los bots no serán reconocidos. Esas direcciones de monedero no recibirán ninguna asignación en el futuro. Ya se está desplegando un contrato de token completamente nuevo. El equipo también confirmó que todos los usuarios de Wetlist y los stakers de JUP que calificaron para la venta original recibirán un airdrop prorrateado bajo el nuevo contrato.

Esta medida garantiza que los usuarios legítimos sigan teniendo acceso, incluso después del fallido lanzamiento. Humidifi también confirmó que el equipo de Temporal reescribió el contrato DTF y que OtterSec completó una auditoría completa del código actualizado. El objetivo es evitar cualquier repetición de ataques automatizados por lotes durante la próxima venta. Ahora han programado la nueva venta pública para el lunes y compartirán detalles actualizados antes del lanzamiento.

Cómo funcionó el ataque en la cadena

El exploit se basó en la velocidad, la agrupación y la escala. Cada monedero tenía un saldo fijo de USDC. En lugar de enviar órdenes de compra individuales, el atacante creó instrucciones que actuaban como “botones de compra” precargados. Cuando la venta se puso en marcha, múltiples transacciones dispararon seis instrucciones por transacción. Esto permitió al atacante ejecutar un volumen masivo en un solo golpe.

Con varios lotes enviados uno tras otro, toda la oferta desapareció antes de que los usuarios humanos pudiesen reaccionar. Este método pone de relieve un problema creciente en los lanzamientos de Solana. La ejecución por lotes y la creación de monederos continúan dominando las ventas públicas mal protegidas. Sin protecciones sólidas a nivel de contrato, incluso los lanzamientos justos siguen expuestos al capital automatizado.

La confianza de la comunidad se resiente, pero la respuesta calma los temores

La reacción de Humidifi fue contundente y rápida. En lugar de defender el fallido lanzamiento, el equipo admitió el error y actuó de inmediato para proteger a los usuarios reales. La decisión de relanzar con código auditado y excluir las direcciones de los bots ayudó a calmar la reacción inicial. El momento también es delicado. Recientemente, Humidifi enfrentó críticas por su estructura de comisiones y rentabilidad, apenas unos días antes de que esta venta pública colapsara. Ese contexto hizo que el fracaso del viernes fuera aún más explosivo en los círculos DeFi de Solana.

Aun así, el rápido reinicio del proyecto muestra que el equipo comprende el daño que puede causar un lanzamiento controlado por bots. Si la venta del lunes se desarrolla sin problemas, podría ayudar a restaurar la confianza. Si falla de nuevo, la confianza podría erosionarse mucho más rápido. Actualmente, hay algo claro: los bots ganaron la primera ronda. Humidifi apuesta todo a ganar la segunda.