BONK.fun域名遭劫持引发安全警报

攻击者在周四控制了BONK.fun团队账户并篡改其网站域名，植入用于窃取钱包资产的恶意脚本。用户访问该站点时可能被诱导批准虚假服务协议，从而授权危险交易。项目方迅速通过官方渠道发布紧急警告，要求用户暂停与该域名的所有交互，直至安全检查完成。

攻击手法依赖用户授权而非链上突破

此次事件的核心在于利用前端欺骗手段，而非攻破区块链本身。攻击者通过伪装成合法条款提示，诱使用户在不知情情况下授予可清空钱包的权限。平台官方账号在社交平台上强调：“恶意行为者已入侵BONK.fun域名”，并建议用户在恢复前避免访问相关链接。

平台曾占据主导地位但近期活跃度下滑

BONK.fun在2025年4月推出后迅速扩张，凭借“无需代码创建代币”的特性吸引大量创作者。巅峰时期占据Solana启动板市场近84%份额，远超同类平台。然而至2025年末，其市场份额降至约7%，同期竞争对手通过优化布局实现增长。尽管2026年初取消平台费用以挽回用户，参与度回升未能持续。

类似攻击在加密生态中呈蔓延趋势

此类前端钓鱼攻击并非孤立事件。2025年11月，Aerodrome Finance也曾遭遇中心化域名被入侵；另有案例显示，攻击者通过伪造MetaMask更新页面实施钓鱼，一名用户在点击后10秒内损失5万美元。这些案例表明，攻击者正越来越多地转向利用用户信任和界面误导进行资产窃取。

防护措施与行业应对建议

事件发生后，团队立即发出警示，并呼吁用户暂停使用该域名。目前尚无公开数据披露受影响用户数量或具体损失金额。专家建议用户在连接钱包前务必核验网址真实性，可借助Revoke.cash等工具撤销可疑授权。同时，平台应强化DNS防护与网站安全机制，防范类似事件再次发生。

结语：前端安全仍是去中心化生态关键短板

本次攻击再次揭示，即使底层区块链具备高安全性，一旦前端基础设施被攻破，仍可能导致严重后果。用户在审批任何钱包请求时必须保持高度警惕，而整个行业亟需提升网站与域名的安全标准，以应对日益复杂的网络威胁。