Bonk.fun: dominio secuestrado y script que vacía carteras pone usuarios en riesgo

Se instó a los usuarios del launchpad de memecoins en Solana Bonk.fun a evitar el sitio web de la plataforma después de que atacantes comprometieran su dominio y desplegaran un script malicioso que vacía carteras diseñado para desviar fondos de las carteras conectadas.

El proyecto confirmó la brecha en un comunicado en redes sociales, advirtiendo que el dominio de la plataforma había caído bajo el control de un actor malicioso.

Según el equipo, la brecha comenzó cuando un atacante obtuvo el control de una cuenta asociada al equipo, lo que permitió al intruso alterar la interfaz del sitio web e inyectar un mensaje engañoso que parecía una confirmación estándar de los términos de servicio. 

En realidad, el mensaje estaba vinculado a un programa que vacía carteras, destinado a engañar a los visitantes para que firmaran una transacción que otorgaría al atacante permiso para mover activos desde sus carteras.

Tom, un operador asociado al proyecto, también advirtió a los usuarios que la cuenta secuestrada se había utilizado para colocar el script que vacía carteras directamente en el dominio.

“No usen el dominio bonk.fun hasta nuevo aviso; los atacantes han secuestrado una cuenta del equipo y han forzado la colocación de un script que vacía carteras en el dominio,” escribió Tom en X.

Aclaró que el ataque no afectó a los usuarios que habían interactuado con la plataforma antes de la vulneración.

“No, si te conectaste a bonk.fun en el pasado, no estás afectado,” dijo Tom en un mensaje posterior, añadiendo que los traders que acceden a tokens de Bonk.fun mediante terminales de trading de terceros tampoco se vieron afectados.

Daños limitados

Según Tom, solo los visitantes que firmaron el mensaje falso de términos de servicio durante el periodo en que la interfaz comprometida estuvo activa estuvieron expuestos al script que vacía carteras. 

El equipo afirmó que identificó rápidamente el incidente y emitió advertencias en sus canales de redes sociales, lo que ayudó a contener el daño.

Aun así, al menos algunos usuarios parecen haber sufrido pérdidas. Un trader afirmó en X que perdió toda su cartera después de conectarse al sitio.

“Me acaban de drenar $273,000 en Bonk.fun,” escribió el usuario, diciendo que su cartera quedó 'completamente vacía' tras interactuar con la interfaz comprometida.

Bonk.fun no ha revelado hasta ahora el valor total de los fondos afectados.

“Estamos haciendo todo lo posible para resolver la situación,” dijo, señalando que proteger a los usuarios de la plataforma sigue siendo la principal prioridad del equipo.

Una amenaza persistente

Debido a su popularidad, los launchpads de tokens y otros proyectos cripto importantes se han convertido repetidamente en objetivos de los atacantes.

Una técnica similar se usó en un incidente anterior que afectó al protocolo de finanzas descentralizadas Curve Finance, donde los atacantes secuestraron el sistema de nombres de dominio del proyecto y redirigieron a los usuarios a un clon malicioso diseñado para vaciar las carteras conectadas.

Pump.fun, un launchpad rival de memecoins en Solana que compite con Bonk.fun, fue atacado el año pasado después de que los atacantes secuestraran su cuenta en X para promocionar tokens meme fraudulentos.