BONK.fun的官网终于回来了。上周那场域名劫持闹得沸沸扬扬,现在团队正式确认,用户直接损失接近3万美元。
事情起因很简单,也很扎心。第三方域名服务商被社工攻击,攻击者通过诱导把BONK.fun的域名转到了别的注册商手里。整个过程BONK.fun自己的系统、代码库、团队账号都没被碰。团队反复强调,这不是协议层面的漏洞,而是外部基础设施出了窟窿。服务商后来也认了锅,承认自己安全环节拉胯。
域名一丢,攻击者直接把网站换成了钓鱼页面。用户一上来就被要求签名所谓的“服务条款”,结果签名就等于把钱包交出去。链上追踪显示,不少人稀里糊涂签了恶意交易。Bubblemaps最早估算损失2.3万美元,团队最新数字修正到3万美元。差额不算小,说明受害地址还在陆续浮出水面。
最狠的一招是,团队宣布会按损失的110%赔偿。100%补本金,额外10%算机会成本补偿。这在meme项目里算罕见操作。不少人留言说,这波至少没跑路,还敢站出来擦屁股。
恢复过程拖了几天。域名被转走后,BONK.fun根本拿不回控制权。直到3月18日才抢回域名,19日钱包对接等功能才全部修好。Phantom、MetaMask、Solflare这些钱包方帮忙标记了恶意域名,间接帮了忙。否则损失可能继续扩大。
现在官网虽然上线了,但麻烦还没完。有些杀毒软件依然把主域名当病毒报。团队只好甩出一个备用域名,让用户先绕过去用。体验肯定打折扣,谁让浏览器和安全软件记仇呢。
市场反应冷淡得像没这回事。BONK从3月初高点一路阴跌,事件曝光后也没额外崩盘。写稿这会儿,BONK报价在$0.0000059附近,基本延续弱势。同期大盘还算稳,BTC报$70,728(24h +0.45%),SOL报$89.67(24h +0.60%),meme板块整体也没跟着起飞。可见社区对这事更多是骂两句,然后继续刷屏。
这事戳中了加密圈老毛病。智能合约再怎么审计,域名、CDN、DNS这些基础设施永远是软肋。多少项目死在中心化服务商手里。BONK.fun这次吃亏,归根结底还是把关键入口交给第三方。社工一波带走,后面再怎么补救都晚了。
团队选择110%赔付,算给用户吃定心丸。可长远看,信任不是靠赔钱就能重建。用户记性短,但对同类事件警惕性只会越来越高。下次再出类似事,估计跑得比谁都快。
备用域名能撑多久是个问题。主域名的安全标签不撤,流量永远被掐一半。杀毒软件的误报也不是一天两天能解决。团队得尽快跟安全厂商沟通,不然用户体验永远卡在半路上。
说到底,meme币玩的就是情绪和速度。域名丢了几天,热度就凉了半截。BONK想重回年初那波疯涨,单靠赔钱和重启恐怕不够。社区需要看到更硬核的防劫持措施,而不是事后补救。否则,下一个被社工盯上的,可能还是他们。