12 марта 2026 года лончпад мемкоинов Solana Bonk.fun предупредил пользователей прекратить использование сайта после того, как атакующие захватили домен и запустили промпт для опустошения кошельков, разработанный, чтобы обманом заставить посетителей подписать вредоносную транзакцию.
Cointelegraph сообщил, что хакеры получили доступ через скомпрометированный аккаунт команды и использовали его для отображения фальшивого сообщения на сайте.
Это тип инцидента, который может затронуть любого, включая опытных трейдеров, потому что поначалу он выглядит «нормально». Вы на правильном сайте. UI выглядит знакомо. Затем всплывает окно с просьбой подписать что-то, что кажется безобидным — например, обновление условий использования (terms-of-service). И этот единственный клик может быть достаточным, чтобы авторизовать переводы активов.
Давайте разберём, что произошло, почему wallet drainers (опустошители кошельков) настолько эффективны, и что вы можете сделать прямо сейчас, чтобы защитить себя.
Что случилось с Bonk.fun
Хронология Cointelegraph прямолинейна:
- Домен Bonk.fun был захвачен, и вредоносный актор использовал скомпрометированный доступ, чтобы запустить фальшивое сообщение, разработанное, чтобы заставить пользователей подписать транзакцию.
- Проект предупредил пользователей не взаимодействовать с сайтом, пока команда не защитит домен.
- Оператор Bonk.fun (упоминаемый как Tom) сказал, что эксплойт нацелился на пользователей, которые подписали мошеннический промпт условий использования, который появился во время взлома.
Материал Decrypt совпал с теми же ключевыми деталями: скомпрометированный аккаунт команды, фишинговый промпт для опустошения кошельков и фальшивый запрос на подпись «TOS». Decrypt также отметил, что системы безопасности браузеров позже пометили сайт как подозреваемый в фишинге, и что команда считала, что потери были ограничены, потому что проблема была обнаружена быстро.
Кто пострадал (а кто нет)
Эта часть критически важна, потому что объясняет, как разработаны эти атаки.
И Cointelegraph, и Decrypt сообщили, что пользователи пострадали только если они взаимодействовали с вредоносным промптом и подписали фальшивое TOS-сообщение после компрометации.
Пользователи, которые ранее подключали кошельки к Bonk.fun, не обязательно пострадали только от этого факта, и люди, торгующие токенами где-то ещё, в целом были в порядке — потому что атака требовала свежего одобрения пользователя, чтобы слить средства.
Cointelegraph также сообщил, что некоторые пользователи заявили о потерях, включая примеры 50 SOL и 10 SOL, хотя команда не опубликовала общую долларовую оценку на тот момент.
Что такое wallet drainer (опустошитель кошелька), если точно?
Crypto wallet drainer — это не «магический взлом». Это обычно вредоносный поток, который убеждает вас одобрить транзакцию (или разрешение на токен), которое даёт атакующему контроль.
Kaspersky описывает crypto drainer как вредоносное ПО, разработанное для быстрого опустошения кошельков путём откачивания ценных активов в кошельки, контролируемые атакующими — часто после того, как жертвы были обмануты, чтобы что-то одобрить.
Вот почему drainers настолько опасны: блокчейн делает именно то, что вы авторизовали. Атакующий не всегда обходит безопасность — они эксплуатируют человеческое доверие и запутывающие промпты подписи.
Как захваты доменов превращаются в опустошённые кошельки
Большинство людей предполагают: «Я в безопасности, если я на правильном сайте». К сожалению, это не всегда правда.
Захват домена (domain hijack) может произойти, когда атакующие получают контроль над чем-то в цепочке публикации сайта — например, настройки DNS, аккаунт регистратора или внутренний админский аккаунт, используемый для публикации обновлений.
В инциденте с Bonk.fun и Cointelegraph, и Decrypt сказали, что атакующие получили доступ через скомпрометированный аккаунт команды и использовали это, чтобы запустить вредоносный промпт через настоящий домен.
Это сценарий кошмара: вы не кликаете на фальшивую ссылку. Вы посещаете настоящий сайт, но сам сайт временно вооружён.
Оттуда сценарий прост:
- Показать промпт, который выглядит рутинным («принять обновлённые условия»)
- Попросить пользователя подписать
- Подпись одобряет транзакцию или разрешение, которое включает кражу
Почему пользователи Solana — частые мишени
Solana имеет быстрые подтверждения и огромную розничную пользовательскую базу — идеальные условия для фишинговых кампаний. Академическая работа задокументировала, что фишинг на Solana включает множественные транзакционные трюки и привёл к значительным потерям в обнаруженных случаях.
Это не означает, что Solana уникально «небезопасна». Просто Solana популярна, быстро движется и тяжела на мемкоины — так что атакующие знают, что всегда есть свежий поток пользователей, кликающих быстро.
Что делать, если вы взаимодействовали с Bonk.fun во время инцидента?
Если вы посещали Bonk.fun во время окна захвата и подписали что-либо, что выглядело как промпт «условий», относитесь к этому как к чрезвычайной ситуации.
1) Переместите оставшиеся средства в свежий кошелёк
Если вы подписали вредоносное одобрение, атакующий может всё ещё иметь разрешения.
2) Отзовите токен-апрувалы (где возможно)
Если drainer включал токен-апрувалы, отзыв разрешений может помочь остановить дальнейшие потери. (Точные шаги зависят от сети и инструментов, которые вы используете.)
3) Проверьте недавние транзакции
Ищите незнакомые переводы, токен-апрувалы или повторяющиеся попытки.
4) Не «тестируйте» сайт снова
Подождите официального разрешения от команды. Cointelegraph сообщил, что проект явно сказал пользователям не взаимодействовать с сайтом, пока он не защищён.
Как избежать wallet drainers в будущем
Вот практический анти-drainer чек-лист — особенно актуальный для лончпадов мемкоинов и новых dapps:
Используйте «одноразовый кошелёк» для высокорисковой активности
Держите небольшой «торговый кошелёк» для мемкоинов и экспериментальных сайтов. Держите долгосрочные холдинги в отдельном кошельке, который никогда не касается случайных dapps.
Читайте промпты подписи, как вы читаете экраны банковских переводов
Если промпт расплывчатый, неожиданный или запрашивает широкие разрешения — остановитесь. Drain-атаки часто успешны, потому что люди подписывают быстро во время хайповых моментов.
Подозревайте «обновления TOS», «верификацию» и «промпты безопасности»
Атака Bonk.fun специально использовала фальшивый промпт подписи условий использования. Любое время, когда сайт просит вас подписать что-то, что не связано явно с тем, что вы делаете, предполагайте риск.
Используйте предупреждения браузера и кошелька — но не полагайтесь на них
В этом случае браузеры позже пометили сайт для фишинга. Это помогает, но это не мгновенно, и некоторые пользователи кликнут до распространения предупреждений.
Замедлитесь, когда это кажется срочным
Скамы процветают на срочности: «подпиши сейчас», «заклейми сейчас», «подтверди сейчас». Лучшая защита — часто пауза в 10 секунд.
Почему эта история важна за пределами Bonk.fun
Bonk.fun — одна платформа, но паттерн больше:
- Атакующие всё больше нацеливаются на веб-слой (домены, админские аккаунты, инструменты публикации), а не только на смарт-контракты.
- «Wallet drainer» атаки не требуют сложных эксплойтов — только правдоподобные промпты.
- Самые быстрорастущие части крипты (мемкоины, лончпады, аирдропы) также проще всего вооружить.
Отчёт Cointelegraph делает это ясным: захват домена не был слухом — он был подтверждён командой и включал настоящий вредоносный промпт, доставленный через официальный сайт.
Вот почему «Я использую только официальные ссылки» необходимо, но недостаточно в 2026. Интернет-цепочка поставок теперь часть вашей модели угроз.
Заключение
Инцидент с Bonk.fun — это жестокое напоминание: даже если вы на правильном сайте, домен может быть временно скомпрометирован, и один клик на фальшивый промпт может опустошить ваш кошелёк.
Ключевые уроки:
- Используйте отдельные кошельки для высокорисковых dapps
- Читайте все промпты подписи медленно и подозрительно
- Не доверяйте срочности
- Следите за официальными каналами для предупреждений безопасности
В мире, где даже настоящие домены могут быть вооружены, ваша бдительность — ваша лучшая защита.