La vente Humidifi exploitée par des bots, nouveau lancement prévu pour lundi

La très attendue vente publique de Humidifi s’est effondrée en quelques secondes vendredi, après qu’une attaque massive de bots snipers ait vidé l’intégralité de l’allocation presque instantanément. L’équipe a confirmé que les utilisateurs réguliers n’avaient aucune réelle chance de participer, les portefeuilles automatisés ayant submergé la vente dès son lancement. Selon Humidifi, l’attaquant a utilisé des milliers de portefeuilles, chacun préchargé avec 1 000 USDC.

Ces portefeuilles ont déclenché des transactions groupées vers le contrat DTF, permettant des achats massifs en une seule fenêtre de bloc. Chaque lot aurait exécuté l’équivalent de 24 000 USDC d’achats, soit environ 350 000 WET par batch. En conséquence, une seule ferme de bots organisée a capté l’intégralité de l’offre en quelques secondes. Les membres de la communauté qui attendaient le lancement ont été complètement exclus.

L’équipe annule les tokens snipés et prévoit un reset complet

Au lieu de laisser l’exploitation perdurer, Humidifi a choisi d’annuler la vente dans son intégralité. L’équipe a confirmé que les tokens snipés à l’origine ne seront pas honorés. Ces adresses de portefeuilles ne recevront aucune allocation à l’avenir. Un tout nouveau contrat de token est en cours de déploiement. L’équipe a également confirmé que tous les utilisateurs Wetlist et les stakers JUP éligibles à la vente initiale recevront un airdrop pro-rata sous le nouveau contrat.

Cette mesure garantit que les véritables utilisateurs auront toujours accès, même après ce lancement raté. Humidifi a aussi confirmé que l’équipe Temporal a réécrit le contrat DTF et qu’OtterSec a réalisé un audit complet du nouveau code. L’objectif est d’éviter toute répétition d’attaques de bundles automatisés lors de la prochaine vente. La nouvelle vente publique est désormais programmée pour lundi. Les détails actualisés seront partagés avant le lancement.

Comment l’attaque a fonctionné on-chain

L’exploitation a reposé sur la vitesse, le batching et l’échelle. Chaque portefeuille disposait d’un solde fixe en USDC. Au lieu d’envoyer des ordres d’achat individuels, l’attaquant a créé des instructions agissant comme des “boutons d’achat” préchargés. Lorsque la vente a débuté, plusieurs transactions ont déclenché six instructions par transaction, permettant à l’attaquant d’exécuter un volume massif en une seule rafale.

Avec plusieurs lots soumis consécutivement, l’intégralité de l’offre a disparu avant que les utilisateurs humains ne puissent réagir. Cette méthode met en lumière un problème grandissant lors des lancements sur Solana : l’exécution en batch et le farming de portefeuilles continuent de dominer les ventes publiques mal protégées. Sans protections solides au niveau du contrat, même les lancements équitables restent exposés au capital automatisé.

La confiance de la communauté mise à mal, mais la réaction rassure

La réaction de Humidifi a été directe et rapide. Au lieu de défendre le lancement raté, l’équipe a reconnu l’échec et a immédiatement agi pour protéger les véritables utilisateurs. La décision de relancer avec un code audité et d’exclure les adresses des snipers a contribué à apaiser le mécontentement initial. Le timing est d’autant plus sensible que Humidifi avait récemment essuyé des critiques concernant sa structure de frais et sa rentabilité, quelques jours avant l’effondrement de cette vente publique. Ce contexte a rendu l’échec de vendredi encore plus explosif dans les cercles DeFi de Solana.

Néanmoins, le reset rapide du projet montre que l’équipe comprend les dégâts qu’un lancement contrôlé par des bots peut causer. Si la vente de lundi se déroule sans accroc, cela pourrait restaurer la confiance. En cas d’échec, la confiance pourrait se détériorer bien plus vite. Une chose est certaine pour l’instant : les bots ont remporté la première manche. Humidifi mise tout sur la victoire de la seconde.