Site da Bonk Fun é hackeado: exploit ativo está drenando fundos de usuários

O site oficial da plataforma de lançamento de memecoins da Solana, Bonk Fun, foi hackeado. Um ator malicioso assumiu o controle do domínio na quarta-feira (11 de março), implantando um drenador de carteiras (wallet drainer) disfarçado de uma interação padrão.
A equipe da plataforma emitiu um aviso urgente: não interaja com o site até novo aviso. Os usuários que conectarem suas carteiras e assinarem as solicitações atuais enfrentam o roubo imediato de seus ativos.
À medida que a notícia sobre a memecoin BONK se espalha, o ativo caiu quase 1% nas últimas 24 horas, após um ano desastroso no qual a memecoin da Solana perdeu -45% de seu valor.
É um momento ruim para um hack de plataforma, já que o setor de memecoins vinha desfrutando de uma alta diária de +2,5%, levando o valor de mercado total de volta para acima de 32 bilhões de USD, com tokens como DOGE, PEPE, Memecore e SHIB todos registrando velas verdes.

Como o invasor comprometeu o front-end da Bonk Fun?
O vetor de ataque explora a confiança do usuário em vez da infraestrutura da blockchain em si. De acordo com o usuário do X, SolportTom, operador da plataforma, hackers sequestraram uma conta da equipe para forçar um drenador no domínio. Isso não é uma falha de contrato inteligente; é uma tomada de controle do front-end.
Os visitantes do site são atualmente recebidos com uma mensagem falsa de termos de serviço. Esse pop-up, que imita solicitações padrão de conformidade, é o mecanismo de gatilho.
Se você assinar essa solicitação, o protocolo concede ao invasor permissão para esvaziar sua carteira, o que acontecerá em poucos segundos.
“Um ator malicioso comprometeu o domínio BONKfun”, anunciou a plataforma através de sua conta oficial no X. “Não interaja com o site até que tenhamos garantido a segurança de tudo.”
Quanto foi drenado e quem foi afetado
A equipe da Bonk.fun não confirmou o valor exato perdido no hack, mas afirmou que as perdas são “mínimas”, atribuindo o baixo dano à rápida detecção dos desenvolvedores.
Apenas os usuários que interagiram com o prompt fraudulento de termos de serviço durante a janela ativa do ataque foram afetados. No entanto, o valor exato em dólares verificado pela análise on-chain permanece pendente.
Este incidente reflete riscos mais amplos no setor, como uma falha no oráculo da Aave que desencadeou liquidações no início deste ano devido a anomalias na interface e nos dados.
Embora a mecânica seja diferente, o resultado para os fundos dos usuários é idêntico: uma perda inesperada devido a um comprometimento técnico.
Ataques de phishing como este estão se tornando industrializados. De acordo com a Chainalysis, as perdas totais por golpes com criptomoedas atingiram aproximadamente 17 bilhões de USD em 2025.
A mudança em direção ao sequestro de domínios indica que os invasores estão contornando a segurança do protocolo para atingir diretamente a interface do usuário.
O que os usuários da Bonk.fun precisam fazer agora
Se você visitou o Bonk.fun nas últimas 24 horas, assuma que a segurança da sua sessão foi comprometida. Ataques de front-end frequentemente ignoram as defesas padrão, como demonstra a recente descoberta por pesquisadores da Ledger de uma falha no Android que permite o roubo da frase semente da carteira.
Tome estas medidas imediatamente:
- Desconecte sua carteira: Remova o Bonk.fun da sua lista de sites conectados nas configurações da sua carteira.
- Revogue aprovações: Use uma ferramenta como o Revoke.cash para revogar quaisquer permissões recentes concedidas aos contratos da Bonk.fun.
- Verifique seu histórico: Verifique se não ocorreram transferências não autorizadas.
“Entendemos que muitas pessoas estão assustadas e com razão, mas estamos fazendo tudo o que está ao nosso alcance para resolver a situação”, escreveu SolportTom.
Os usuários devem aguardar e esperar por um aviso oficial de “segurança confirmada” da conta X da Bonk.fun antes de retornar ao site.
Se o site permanecer comprometido por mais 24 horas, a migração de usuários para plataformas rivais como a Pump.fun provavelmente se acelerará, e a Bonk.fun poderá ter dificuldades para recuperar o que restou de sua base de usuários.
Se a equipe resolver o sequestro de DNS rapidamente e reembolsar as perdas “mínimas”, a confiança poderá se estabilizar, mas a pressão agora recai sobre os operadores para provar que o domínio é seguro.