bonk.fun 網域遭劫持爆「假 TOS 批准釣魚」　凸顯加密貨幣安全從鍊上轉向 Web2 與介面攻擊

bonk.fun 近日遭遇 *網域劫持* 與 *錢包「批准釣魚」攻擊*，攻擊者在官方網站前端植入惡意簽名介面，誘導用戶對「假服務條款」進行簽署，一旦授權，即可能放行錢包內資產。事件凸顯當前 *加密貨幣* 安全威脅，正從傳統的 *智慧合約* 漏洞，轉向更偏向 *Web2 基礎設施* 與 *使用者介面(UI)* 的攻擊面。

根據 bonk.fun 運營方與社群公開資訊，事件發生於 3 月 12 日（當地時間）。當日，bonk.fun 運營者 Tom（X 帳號 @SolportTom）在社群平台 X 上表示，平台主網域已遭入侵，並呼籲用戶「在另行通知前，避免與網站有任何互動」。同樣由 *BONK 社群* 與 *Raydium* 支援的 Solana 生態代幣發行平台 bonk.fun 官方帳戶，亦同步證實遭到攻擊，向用戶發出相同警告。

依照團隊說明，攻擊者並未直接入侵 *智慧合約*，而是掌控了 bonk.fun 的網站網域與前端頁面，在介面中插入一個看似正常的「服務條款（TOS）」簽署視窗。用戶若誤以為是平台更新條款或例行授權而點擊簽名，實際上等同向攻擊者錢包發出「授權批准」，開放其對用戶資產進行轉移操作。

Tom 指出，真正遭受資產損失的，主要是「實際對該假 TOS 簽名的用戶」。過去僅是連結錢包、或是透過外部交易終端交易 *BONK 代幣* 的使用者，並未受到這次攻擊波及。他同時強調，由於異常狀況被相對快速發現與通報，目前確認的受害金額「仍屬有限」，尚未出現大規模資金外流跡象。

評論：

這類攻擊利用的是人們對「網站外觀與流程」的信任，而非鏈上程式本身。只要前端畫面足夠逼真，即使是熟悉 DeFi 的用戶，也可能在習慣性操作中點下授權。

本次 bonk.fun 事件本質上是一場典型的「Web2 基礎架構攻擊」，而非對 Solana 上 *BONK 代幣* 或 *Raydium 智慧合約* 的技術性入侵。攻擊者透過奪取網站網域或前端部署權限，在原本可信的介面中置換關鍵互動流程，讓用戶面對一個「看起來一切正常」的錢包互動框，實際上卻是惡意的批准請求。

運作邏輯通常是：

1. 用戶打開熟悉的網站（但此時域名/前端已被接管）；

2. 系統跳出「更新服務條款」或「必須簽署以繼續使用」的提示；

3. 錢包彈出簽名／批准畫面，文案刻意模糊用途；

4. 用戶在未細看合約內容的情況下點擊確認；

5. 攻擊者獲得代幣轉移或無限額度支出權限，之後再慢慢清空資產。

這類 *「假 UI 批准釣魚」* 攻擊，近年在 DeFi 與 *迷因幣* 生態中急遽增加，主要原因在於：

- 直接破解鏈上合約難度高、成本大；

- 相較之下，入侵網域、DNS、托管服務或社群帳號，更符合攻擊者的成本效益；

- 多數用戶不會逐條檢視簽名內容，視覺與品牌信任成為最大破口。

區塊鏈分析機構 *Chainalysis* 統計指出，僅 2025 年一年，流入各類鏈上詐騙的資金規模就達約 *140 億美元*，且隨著更多受害地址被持續識別，整體損失金額可能突破 *170 億美元*。這其中，與 *AI 冒充身份*、*偽造介面* 與 *網域劫持* 相關的攻擊占比持續攀升，導致加密貨幣安全焦點，正從「審計智慧合約程式碼」，快速擴散到「防護使用者介面與基礎設施」。

除了 bonk.fun，本次事件也讓市場再次回顧多起相似案例。例如 2025 年 2 月，另一家迷因幣發行平台 *Pump.fun* 的 X 帳號遭入侵，駭客利用該帳號宣傳虛假代幣與惡意連結，誘導用戶點擊。另有知名加密交易者「Sillytuna」則因遭遇「線上地址污染」結合「線下恐嚇與犯罪」的複合式攻擊，最終蒙受數百萬美元損失並選擇退出市場。

多位市場觀察人士指出，如今的 *加密貨幣安全*，已不再僅是「鏈上程式碼是否安全」的二元問題，而是涵蓋：

- 網域與 DNS 管理；

- 社群與官方帳號控管；

- 第三方前端與工具的可信度；

- 用戶在授權、簽名與點擊操作時的風險意識。

評論：

安全邏輯已從「只要合約通過審計就安心」轉變為「從瀏覽器到錢包、從社群到實體世界」的全鏈路風險管理。對散戶而言，最大的風險往往不是某行程式碼，而是「自己以為在做正確的事」。

bonk.fun 團隊與安全專家普遍建議，用戶在當前環境下應採取數個實務防禦措施，以降低遭遇 *批准釣魚* 與 *假介面攻擊* 的機率，包括：

- 儘可能透過鏈上 *合約地址* 直接互動，或使用歷史口碑較佳、風險控管嚴謹的界面與錢包工具；

- 定期檢查並清理錢包中的「代幣批准權限」，關閉不再使用的 DApp 授權；

- 對任何「必須簽名才能繼續使用／解鎖功能」的提示保持懷疑，尤其是突然出現的 TOS 或活動申領畫面；

- 出現網站異常延遲、憑證警告、域名拼寫差異等情況時，先停止互動，改從官方社群或公告確認網址真偽。

隨著 *AI 冒充*、*釣魚網站* 與 *前端劫持* 手法不斷進化，*加密貨幣* 用戶若僅依賴單一安全層（例如合約審計或防毒軟體），已難以應對複合型攻擊。未來保護資產的關鍵，將是結合工具、流程與習慣的「多層次安全」，以及時刻留意每一次按下「簽名」與「批准」之前，螢幕上究竟寫了什麼。