核心提要:BONK.fun平台因域名被劫持导致钱包盗取脚本植入,引发用户资产风险。事件凸显前端攻击在加密生态中的蔓延趋势,尽管区块链本身未受威胁,但用户授权环节成主要突破口。
BONK.fun域名遭劫持引发安全警报
攻击者通过控制项目团队账户,篡改BONK.fun网站域名并植入恶意授权脚本。用户访问时会收到伪装成服务协议的虚假请求,一旦批准即可能被授权清空钱包资产。项目方迅速通过官方社交渠道发布紧急警告,建议用户暂停与该域名的所有交互。
攻击手段依赖诱导性授权而非链上突破
此次事件并未涉及区块链协议或智能合约漏洞,而是利用前端页面注入技术,以欺骗方式诱导用户签署恶意交易请求。平台在社交媒体上明确指出:‘黑客已劫持团队账户并在域名上强制植入盗取程序’,强调仅在网站被入侵后签署虚假协议的用户存在风险,此前连接或外部交易的钱包未受影响。
平台曾为Solana生态核心发行工具
BONK.fun于2025年4月在BONK社区与Raydium支持下推出,主打‘无需代码创建代币’功能,凭借极简操作迅速占据市场主导地位。巅峰时期其市场份额达84%,成为当年Solana网络最活跃的代币发行平台之一。
热度下滑与费用调整未能挽回局面
自2025年下半年起,平台活跃度持续走低,奖励机制收紧、发行成功率下降。至2025年末,市场份额萎缩至约7%。同期竞争对手Pump.fun通过优化扩展能力实现增长,营收达72万美元,而BONK.fun仅录得8.4万美元。2026年初虽取消平台费用以吸引用户,但参与度反弹未能持久。
前端钓鱼攻击正成为行业普遍威胁
此类攻击并非孤立事件。2025年11月,Aerodrome Finance也曾遭遇中心化域名被入侵;另有案例显示,攻击者伪造MetaMask更新提示,诱导用户点击恶意链接,导致单笔损失超5万美元。这些案例表明,攻击者正转向更隐蔽的前端诱导策略,重点瞄准用户信任与操作疏忽。
应对措施与防护建议同步推进
事件发生后,团队立即发布风险警示,并呼吁用户避免访问相关域名。尽管尚未披露具体受影响人数及损失规模,但社交媒体上的快速响应有效提升了信息传播效率。安全专家建议用户在授权前核验网址真实性,使用Revoke.cash等工具及时撤销可疑权限,同时平台应强化DNS保护与前端内容验证机制。
结语:去中心化生态仍需警惕基础设施风险
本次事件再次揭示,即使底层区块链具备高安全性,前端系统的薄弱环节仍可能造成严重后果。当攻击者掌控网站入口并诱导用户签署恶意请求时,用户资产面临直接威胁。随着调查深入,加强域名安全、提升用户防范意识已成为加密行业亟待解决的关键议题。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
