4 min
Il mondo delle piattaforme di lancio token su Solana è scosso da un grave attacco informatico che ha colpito Bonk.fun, uno dei progetti più noti nell'ecosistema Bonk costruito sulla blockchain di Solana. Il team ha lanciato un'allerta urgente invitando tutti gli utenti a non visitare il dominio bonk.fun, dopo che hacker sconosciuti hanno compromesso un account interno e trasformato il sito in una trappola per drenare wallet. L'episodio riaccende i riflettori su una delle minacce più insidiose e persistenti nel settore crypto: il phishing tramite wallet-draining, tecnica che continua a mietere vittime nonostante la crescente consapevolezza degli utenti. L'incidente arriva in un momento in cui il mercato Solana registra volumi di attività elevati, rendendo l'impatto potenziale ancora più preoccupante.
Il vettore d'attacco scelto dai criminali è quello classico del wallet drainer: una volta compromesso l'account di un membro del team, gli hacker hanno iniettato nel dominio ufficiale un prompt malevolo mascherato da accettazione dei termini di servizio (TOS). Chiunque abbia firmato quel messaggio fraudolento ha di fatto autorizzato transazioni che potevano svuotare il wallet collegato. L'operatore del progetto, noto nella community come Tom, ha confermato l'accaduto su X con un avviso inequivocabile: "Non usate il dominio bonk.fun fino a nuovo avviso. Gli hacker hanno dirottato un account del team, forzando un drainer sul dominio."
Dal punto di vista tecnico, i sistemi di sicurezza dei browser hanno reagito tempestivamente: i visitatori che hanno tentato di accedere al sito nelle ore successive alla violazione si sono trovati di fronte ad avvisi espliciti di phishing sospetto, una misura di protezione che ha certamente contribuito a limitare il numero di vittime. Questo tipo di risposta rapida degli ecosistemi di sicurezza web rappresenta un argine importante, ma non sufficiente a proteggere chi già si trovava connesso al momento dell'attacco.
Tom ha chiarito in un post successivo che la platea degli utenti effettivamente a rischio è circoscritta: chi aveva semplicemente connesso il proprio wallet in precedenza, o chi aveva scambiato token lanciati sulla piattaforma tramite terminal esterni, non risulta essere stato compromesso. Il danno riguarda esclusivamente coloro che hanno interagito con il prompt malevolo dopo la violazione, firmando il falso TOS. Questa distinzione è fondamentale per evitare panico ingiustificato, ma non elimina la gravità dell'accaduto.
Il team non ha ancora reso pubblici i dati relativi al numero di wallet colpiti né all'ammontare complessivo dei fondi sottratti. La rilevazione rapida dell'intrusione e la diffusione virale degli avvisi sui social media sembrano aver contenuto le perdite, secondo quanto dichiarato dallo stesso Tom: "Capiamo che molte persone siano spaventate, e a ragione. Stiamo facendo tutto il possibile per risolvere la situazione." Un rappresentante della piattaforma non ha ancora risposto alle richieste di commento ufficiale.
Bonk.fun è attiva da circa otto mesi come piattaforma di lancio token nell'ecosistema Bonk su Solana, e questo attacco evidenzia come anche progetti consolidati possano essere vulnerabili alla compromissione di singoli account interni. Il phishing rimane una delle minacce più difficili da arginare nel settore crypto, dove la firma di una transazione può tradursi in perdita immediata e irreversibile di fondi, senza possibilità di chargeback o tutele bancarie tradizionali — un aspetto che il quadro normativo europeo MiCA non copre direttamente in termini di protezione dell'utente finale.
Per gli investitori e gli utenti attivi su piattaforme Solana, l'episodio offre un promemoria concreto: verificare sempre l'autenticità di qualsiasi richiesta di firma, diffidare di prompt TOS inattesi anche su domini familiari, e monitorare le comunicazioni ufficiali dei team sui canali social verificati prima di interagire con qualsiasi dApp. Nei prossimi giorni sarà cruciale seguire gli aggiornamenti di Bonk.fun sulla messa in sicurezza del dominio e sull'eventuale restituzione dei fondi agli utenti colpiti, qualora il team riuscisse a tracciare i wallet degli attaccanti on-chain.