Pengguna Bonk.fun terancam selepas penggodam menjajah domain, guna penguras dompet

Pengguna Bonk.fun, sebuah platform pelancaran memecoin berasaskan Solana, dinasihati untuk mengelakkan laman web platform itu selepas penyerang menjejaskan domainnya dan memasang skrip penguras dompet berbahaya yang direka untuk mengalihkan dana daripada dompet yang disambungkan.

Projek itu mengesahkan pelanggaran itu dalam satu kenyataan di media sosial, memberi amaran bahawa domain platform telah jatuh di bawah kawalan pelaku berniat jahat.

Menurut pasukan itu, pelanggaran bermula apabila penyerang memperoleh kawalan ke atas akaun yang dikaitkan dengan pasukan, yang membolehkan penceroboh mengubah antara muka laman web dan menyuntik mesej menipu yang kelihatan seperti pengesahan terma perkhidmatan biasa. 

Sebenarnya, mesej itu dihubungkan ke program penguras dompet yang bertujuan memperdaya pelawat untuk menandatangani transaksi yang memberi kebenaran kepada penyerang untuk memindahkan aset dari dompet mereka.

Tom, seorang pengendali yang dikaitkan dengan projek itu, juga memperingatkan pengguna bahawa akaun yang dijajah telah digunakan untuk meletakkan penguras itu terus pada domain.

“Jangan gunakan domain bonk.fun sehingga diberitahu selanjutnya, penggodam telah menjajah akaun pasukan dan memaksa penguras ke atas domain itu,” Tom menulis di X.

Beliau menjelaskan bahawa serangan itu tidak menjejaskan pengguna yang telah berinteraksi dengan platform sebelum pelanggaran.

“Tidak — jika anda pernah menyambung ke bonk.fun sebelum ini anda tidak terjejas,” kata Tom dalam mesej susulan, menambah bahawa pedagang yang mengakses token Bonk.fun melalui terminal dagangan pihak ketiga juga tidak terjejas.

Kerosakan terhad

Menurut Tom, hanya pelawat yang menandatangani mesej terma perkhidmatan palsu dalam tempoh apabila antara muka yang dikompromi aktif sahaja yang terdedah kepada skrip penguras dompet. 

Pasukan itu berkata ia segera mengenal pasti insiden dan mengeluarkan amaran di saluran media sosial, yang membantu mengehadkan kerosakan.

Namun, sekurang-kurangnya beberapa pengguna dilaporkan mengalami kerugian. Seorang pedagang mendakwa di X bahawa mereka kehilangan keseluruhan dompet mereka selepas menyambung ke laman itu.

“Saya baru sahaja dikuras sebanyak $273,000 di Bonk.fun,” tulis pengguna itu, mengatakan dompet mereka tinggal “kosong” selepas berinteraksi dengan antara muka yang dikompromi.

Bonk.fun belum mendedahkan jumlah nilai dana yang terjejas setakat ini.

“Kami melakukan segala yang dalam keupayaan kami untuk memperbaiki keadaan,” katanya, memaklumkan bahawa melindungi pengguna platform tetap menjadi keutamaan utama pasukan.

Ancaman berterusan

Disebabkan populariti mereka, platform pelancaran token dan projek kripto utama lain telah berulang kali menjadi sasaran penyerang.

Teknik serupa digunakan dalam insiden terdahulu yang melibatkan protokol kewangan terdesentralisasi Curve Finance, di mana penyerang menjajah sistem nama domain projek itu dan mengalihkan pengguna ke klon berniat jahat yang direka untuk menguras dompet yang tersambung.

Pump.fun, sebuah platform pelancaran memecoin berasaskan Solana pesaing Bonk.fun, disasarkan tahun lalu selepas penyerang menjajah akaun X Pump.fun untuk mempromosikan token meme palsu.