El 21 de agosto, hackers lograron comprometer la cuenta oficial de Instagram de McDonald’s para llevar a cabo una estafa que les permitió obtener más de 700,000 USD en Solana. Los estafadores utilizaron la popularidad de la cadena de comida rápida y su mascota Grimace para promover una memecoin falsa, llamada «Grimace». Esta resultó ser un rug pull destinado a engañar a los inversores.
La estrategia de los atacantes estuvo meticulosamente planeada. Tras obtener acceso a la cuenta de Instagram de McDonald’s, que cuenta con 5.1 millones de seguidores, los hackers publicaron varios anuncios que promocionaban la falsa memecoin Grimace como un «experimento de McDonald’s en Solana». Estas publicaciones rápidamente atrajeron la atención de los seguidores, que creyeron que la criptomoneda tenía el respaldo de la compañía.
Según datos del servicio de análisis de blockchain Bubblemaps, los hackers utilizaron la plataforma pump.fun para crear y desplegar el token Grimace en la red Solana. Antes de llevar a cabo la estafa, los atacantes adquirieron el 75% del suministro total circulante de la memecoin. Distribuyéndolo luego en alrededor de 100 diferentes wallets para dispersar los fondos y evitar la detección inmediata.
Las publicaciones desde la cuenta oficial de McDonald’s provocaron un aumento meteórico en el valor del token Grimace. Que pasó de tener una capitalización de mercado de apenas unos miles de dólares a alcanzar los 25 millones de dólares en tan solo 30 minutos, según datos de DexScreener. Sin embargo, la burbuja explotó rápidamente. Tras alcanzar su pico, los hackers comenzaron a vender sus holdings, lo que provocó un desplome en el precio del token. En apenas 40 minutos, el valor de la memecoin se desplomó a 650,000 USD.
La operación de rug pull fue exitosa para los hackers, quienes lograron obtener una ganancia total de aproximadamente 700,000 USD en Solana. Durante el ataque, el hacker también se jactó de sus acciones cambiando la biografía de la cuenta de McDonald’s para hacer alarde de su éxito, afirmando: «Lo siento, amigo, has sido estafado por India_X_Kr3w, gracias por los USD 700,000 en Solana».
McDonald’s actuó rápidamente para recuperar el control de su cuenta de Instagram y eliminar las publicaciones fraudulentas. En un comunicado al New York Post, McDonald’s reconoció el «incidente aislado» que afectó a sus redes sociales y aseguró que el problema se resolvió. «Pedimos disculpas a nuestros seguidores por cualquier lenguaje ofensivo publicado durante ese tiempo», declaró la compañía.