Pemimpin DEX dark pool di Solana, HumidiFi, mengalami serangan bot saat penjualan, proyek dengan FDV $69 juta terpaksa memulai ulang penjualan publik.

Ekosistem Solana yang sangat dinantikan dengan proyek dark pool DEX HumidiFi mengalami serangan “sniper bot” yang bisa dibilang sebagai contoh kasus klasik. Pada saat peluncuran publik token WET, sebuah bot farm yang terdiri dari ribuan dompet dengan deposit sebelumnya menggunakan transaksi massal untuk memborong habis seluruh 20 juta alokasi penjualan publik hanya dalam hitungan detik, membuat anggota komunitas biasa sama sekali tidak bisa berpartisipasi.

Kejadian ini membuat tim proyek, setelah mengumpulkan 1,39 juta USDC, memutuskan untuk membatalkan token yang sudah diserbu bot, serta segera meluncurkan kontrak baru yang telah diaudit, dengan rencana penjualan ulang pada 8 Desember. Pertarungan ini tidak hanya menguji kapabilitas teknis dan reputasi tim, tetapi juga kembali menyoroti masalah “fair launch” yang sudah lama menjadi PR ekosistem Solana.

Kalah dalam Detik: Perang Kilat Bot yang Terencana Matang

Bagi banyak anggota komunitas Solana yang menanti peluncuran publik token WET HumidiFi pada 6 Desember, pengalaman tersebut seperti mimpi buruk. Begitu penjualan dibuka pada waktu yang ditentukan, seluruh proses distribusi selesai dalam sekejap mata. Evaluasi tim proyek kemudian menemukan bahwa ini bukan karena antusiasme komunitas yang berlebihan, melainkan serangan bot yang terorganisir dan sangat otomatis. Penyerang menyiapkan ribuan dompet, masing-masing diisi tepat 1.000 USDC, sesuai batas maksimal pembelian publik per orang.

Teknologi inti serangan ini adalah “transaksi massal”. Bot tidak mengirim satu perintah beli saja, tetapi membungkus banyak perintah dalam satu “bundle transaksi”. Dilaporkan, setiap bundle transaksi bisa mengeksekusi pembelian senilai 24.000 USDC, atau sekitar 350.000 WET sekaligus. Dengan mengirimkan beberapa bundle berturut-turut, penyerang menghabiskan seluruh alokasi penjualan dalam satu siklus konfirmasi blok. Serangan “saturasi” yang memanfaatkan tingginya throughput Solana ini membuat pengguna manusia tidak punya waktu bereaksi, sehingga mekanisme “siapa cepat dia dapat” menjadi tidak berarti di hadapan keunggulan teknologi.

Akibat serangan ini sangat destruktif. Bukan hanya menghilangkan kesempatan partisipasi bagi pengguna asli, tapi juga menghancurkan visi “fair launch” proyek. Token WET sudah menarik perhatian besar di tahap presale, harga OTC sempat melonjak dari 0,069 USD ke 0,25 USD. Namun, dengan semua ekspektasi likuiditas dikuasai satu entitas tak dikenal, kesehatan pasar dan kepercayaan komunitas menjadi pertanyaan besar. Tim proyek dihadapkan pada pilihan sulit: mengakui kekalahan dan membiarkan sniper meraup untung, atau mengambil langkah tegas dan mengulang dari awal?

Bedah Teknik: Bagaimana Bot Sniper Memainkan Aturan “Siapa Cepat Dia Dapat”

Untuk memahami mengapa serangan ini sangat sukses, perlu menelusuri detail teknis transaksi on-chain Solana. Penyerang memanfaatkan potensi kelemahan perlindungan dalam kontrak DTF yang digunakan Jupiter Launchpad. Pola serangannya memiliki beberapa ciri utama: skala besar (ribuan dompet), sinkron (aksi serentak), efisiensi maksimal (transaksi massal). Ini lebih mirip operasi militer terkoordinasi daripada sekadar script pembelian biasa.

Analisis Ciri-ciri Serangan Bot Sniper

Skala serangan: Ribuan dompet terhubung

Dana per dompet: 1.000 USDC (sesuai batas maksimal publik)

Teknologi serangan: Transaksi massal (Bundle Transactions)

Daya beli per bundle: ~24.000 USDC / 350.000 WET

Durasi serangan: Selesai dalam hitungan detik

Celah pertahanan: Kontrak tidak mampu memfilter transaksi massal dan serangan sybil secara efektif

Kontradiksi utama: Mekanisme “siapa cepat dia dapat” di blockchain high TPS bertabrakan dengan efisiensi bot

Inti dari serangan ini adalah efisiensi modal dan teknologi yang menggilas ideal “setara untuk semua” di komunitas. Pada blockchain berperforma tinggi seperti Solana, konfirmasi transaksi dalam milidetik, sehingga aturan “siapa cepat dia dapat” sebenarnya menguji siapa yang programnya paling dekat dengan produsen blok, siapa yang optimasi rutenya terbaik, dan siapa yang distribusi modalnya paling tersebar. Kecepatan klik manusia tidak bisa menyaingi bot yang dioptimalkan. Insiden ini menyoroti masalah umum industri: banyak proyek hanya membatasi pembelian secara sederhana, tanpa perlindungan lebih dalam terhadap serangan sybil dan bot, seperti deteksi sumber dana sama, pola transaksi mirip, atau pembelian masif dalam waktu singkat.

Serangan Balik Tim: Membatalkan, Audit, Reboot dan Airdrop Kompensasi

Menghadapi kekalahan telak, respons tim HumidiFi sangat cepat dan tegas. Mereka tidak berkompromi, melainkan mengambil keputusan tegas yang “dingin” terhadap sniper dan bertanggung jawab terhadap komunitas: membatalkan semua token WET yang sudah diborong, menyatakan nilainya nol, dan tidak mengembalikan dana ke alamat sniper. Tim juga langsung menyiapkan kontrak token baru.

Untuk memastikan reboot sukses, tim mengambil sejumlah langkah. Pertama, mereka bekerja sama dengan tim Temporal untuk menulis ulang kontrak DTF, serta menggandeng perusahaan keamanan OtterSec untuk mengaudit kode baru secara menyeluruh demi menutup celah serangan transaksi massal. Kedua, untuk menebus dukungan komunitas asli, tim mengumumkan semua pengguna yang sebelumnya lolos kualifikasi—termasuk whitelist Wetlist dan staker JUP—akan menerima airdrop proporsional di kontrak baru. Ini menjaga basis komunitas setidaknya secara fundamental.

Tim menjadwalkan penjualan publik baru pada 8 Desember. “Babak kedua” ini akan menjadi ujian akhir kapabilitas teknis dan manajemen krisis HumidiFi. Jika penjualan ulang berjalan lancar dan adil, tim bisa memulihkan reputasi; jika kembali dibobol, kredibilitas proyek bisa hancur. Perlu dicatat, pendiri Jupiter, Meow, secara terbuka mendukung tim HumidiFi sebelum dan sesudah insiden, menegaskan bahwa mereka berlatar belakang trading high-frequency di institusi seperti Citadel dan merupakan pembangun inti infrastruktur Solana (misal Nozomi, Temporal). Pondasi teknis kuat inilah yang menjadi modal mereka untuk melakukan serangan balik cepat setelah black swan event.

Luka Ekosistem: Dilema Abadi Fair Launch DeFi Solana

Peristiwa HumidiFi bukan kasus tunggal, melainkan potret ekstrem dari dilema “fair launch” di ekosistem Solana dan DeFi secara luas. Dengan makin cepatnya transaksi on-chain dan makin mudahnya akses alat, jurang teknologi antara tim bot profesional dan investor retail makin lebar. “Scientist frontrunning” dan “bot sniper” sudah menjadi momok di tiap peluncuran proyek. Ini melahirkan siklus buruk: komunitas kehilangan kepercayaan pada penjualan publik; proyek makin bergantung pada private round atau institusi yang berdampak pada sentralisasi distribusi token; atau menciptakan mekanisme peluncuran baru yang makin kompleks (atau bahkan makin sentralistik), seperti undian, lottery, atau sistem poin.

Insiden ini juga menempatkan Jupiter, platform kerja sama, dalam sorotan. Meski Jupiter menawarkan kemudahan launching, apakah tingkat perlindungan default kontraknya cukup menghadapi serangan terorganisir jadi pertanyaan komunitas. Ini mendorong ekosistem untuk introspeksi: apakah penyedia infrastruktur perlu menyediakan toolkit anti-bot yang lebih kuat dan bisa dikustomisasi? Misalnya, otentikasi identitas lebih canggih (on-chain Proof of Humanity), sistem reputasi berbasis riwayat on-chain, atau mekanisme lelang gas dinamis untuk meningkatkan biaya serangan sniper.

Lebih dalam lagi, HumidiFi yang menonjolkan fitur “dark pool” DEX untuk mencegah frontrunning dan melindungi trader ritel, justru tumbang akibat serangan frontrunning paling klasik di peluncuran tokennya sendiri. Ini ironi sekaligus peringatan keras. Artinya, membangun produk DeFi canggih guna melindungi pengguna dan melindungi proses kelahiran produk itu sendiri adalah dua medan perang yang sama sekali berbeda.

Dari sniper bot yang menghabiskan alokasi dalam beberapa detik, hingga HumidiFi yang melakukan counterattack cepat dengan reboot teknis, perang ini menggambarkan kerasnya realitas DeFi Solana saat ini. Isu ini melampaui sukses-gagal satu proyek, bertransformasi menjadi diskusi terbuka tentang keadilan teknologi, kepercayaan komunitas, dan kuasa modal. Penjualan ulang HumidiFi akan menjadi simbol: jika berhasil, jadi contoh penanganan krisis bagi proyek lain; jika gagal, pesimisme fair launch akan makin dalam. Yang jelas, kasus ini mengingatkan semua pihak bahwa, di dunia keuangan terdesentralisasi, keadilan sempurna adalah kemewahan rapuh yang harus terus diperjuangkan dengan teknologi dan sistem. Dan apakah tim dengan pengalaman high-frequency trading dan pengembangan infrastruktur kelas dunia bisa benar-benar membuat “perisai” setangguh “tombak” mereka, inilah babak yang paling layak dinantikan.