Huma Finance: Logisk feil fører til tap av $101,400
En logisk feil i Huma Finance sin legacy V1-kontrakt på Polygon førte til at en angriper klarte å tømme omtrent $101,400 i USDC. Huma Finance har bekreftet at deres Solana-baserte PayFi V2 og PST-token forblir strukturelt upåvirket av denne hendelsen.
Detaljer om hendelsen
Ifølge teamet ble det tappet omtrent $101,400 i USDC og USDC.e fra gamle likviditetsbassenger som allerede var i ferd med å bli avviklet. De understreker at ingen brukerinnskudd på deres nåværende PayFi-plattform er i fare, og at Humas PST-token ikke ble påvirket. Deres ombygde V2-system på Solana er også strukturelt adskilt fra de berørte kontraktene.
«Huma Finance’s V1 BaseCreditPool-distribusjoner på Polygon ble utnyttet for omtrent $101K. Totalt tap: omtrent $101.4K (USDC + USDC.e).»
Teamet bekreftet at hendelsen var begrenset til utdaterte kontrakter snarere enn aktive produksjonsvalutaer. En detaljert rapport fra Web3-sikkerhetsfirmaet Blockaid, sitert av CryptoTimes, tilskriver tapet en logisk feil i en funksjon kalt refreshAccount inne i V1 BaseCreditPool-kontraktene. Denne feilen førte til at en kontos status feilaktig ble endret fra «Forespurt kredittlinje» til «God status» uten tilstrekkelige kontroller.
Utnyttelsens konsekvenser
Dette gjorde det mulig for angriperen å omgå tilgangskontroller og trekke midler fra statskasse-knyttede bassenger som om de var en godkjent låntaker. Blockaids analyse viser at omtrent 82,315.57 USDC ble tappet fra én kontrakt (0x3EBc1), 17,290.76 USDC.e fra en annen (0x95533), og 1,783.97 USDC.e fra en tredje (0xe8926), alt i en tett orkestrert sekvens utført i én enkelt transaksjon.
Utnyttelsen involverte ikke brudd på kryptografi eller private nøkler, men snarere manipulering av forretningslogikk slik at systemet «trodde» at angriperen hadde rett til å trekke midler. Huma Finance opplyser at de allerede hadde vært i ferd med å fase ut sine V1-likviditetsbassenger på Polygon da utnyttelsen skjedde, og har nå fullstendig pauset alle gjenværende V1-kontrakter for å forhindre ytterligere risiko.
Fremtiden for Huma Finance
I sin kunngjøring understreket teamet at Huma 2.0 — en tillatelsesfri, sammensatt «real-yield» PayFi-plattform som ble lansert på Solana i april 2025 med støtte fra Circle og Solana Foundation — er «en fullstendig ombygging» med en annen arkitektur og ikke er knyttet til den sårbare V1-koden.
Huma 2.0s design sentrerer rundt $PST (PayFi Strategy Token), et likvidt, avkastningsgivende LP-token som representerer posisjoner i betalingsfinansieringsstrategier og kan integreres med Solana DeFi-protokoller som Jupiter, Kamino og RateX.
I kontrast var de utnyttede V1-kontraktene en del av et eldre, tillatelsesbasert kredittbassengsystem på Polygon, som nå er effektivt pensjonert. For brukerne er hovedpoenget at det tapte beløpet på omtrent $101,400 USDC rammet legacy protokoll-nivå likviditet snarere enn individuelle lommebøker, og at nåværende innskudd og PST-posisjoner på Solana rapporteres som trygge.
Likevel tilfører hendelsen et annet eksempel til en lang liste over DeFi-utnyttelser der det svake punktet ikke var signaturordninger, men forretningslogikk i aldrende kontrakter — noe som forsterker hvorfor team som Huma migrerer til redesignede arkitekturer, og hvorfor brukere bør behandle «legacy» og «snart utdaterte» bassenger med samme forsiktighet som de forbeholder for uavhengig kode.
