Huma Finance Mengumumkan Eksploitasi Kontrak Warisan V1
Huma Finance mengumumkan bahwa kontrak warisan V1 mereka di Polygon telah dieksploitasi, mengakibatkan kerugian sekitar $101,400 dalam USDC dan USDC.e. Eksploitasi ini disebabkan oleh bug logika dalam kolam kredit warisan V1 yang memungkinkan penyerang untuk menarik dana dari kolam likuiditas yang sudah dalam proses dihentikan. Tim Huma menegaskan bahwa tidak ada setoran pengguna di platform PayFi mereka yang saat ini berisiko, dan token PST Huma tidak terpengaruh. Sistem V2 yang telah direkonstruksi di Solana juga terpisah secara struktural dari kontrak yang terpengaruh.
“Penerapan V1 BaseCreditPool Huma Finance di Polygon telah dieksploitasi dengan total kerugian sekitar $101K. Total yang diambil: ~$101.4K (USDC + USDC.e).”
Mereka mengonfirmasi bahwa insiden ini terbatas pada kontrak yang sudah tidak digunakan dan bukan pada brankas produksi yang aktif.
Analisis dan Penyebab Eksploitasi
Sebuah analisis dari firma keamanan Web3, Blockaid, mengaitkan kerugian ini dengan kesalahan logika dalam fungsi yang disebut refreshAccount di dalam kontrak V1 BaseCreditPool. Kesalahan ini secara keliru mengubah status akun dari “Garis kredit yang diminta” menjadi “GoodStanding” tanpa pemeriksaan yang memadai, memungkinkan penyerang untuk melewati kontrol akses dan menarik dana seolah-olah mereka adalah peminjam yang disetujui.
Blockaid melaporkan bahwa sekitar 82,315.57 USDC diambil dari satu kontrak (0x3EBc1), 17,290.76 USDC.e dari kontrak lain (0x95533), dan 1,783.97 USDC.e dari kontrak ketiga (0xe8926), semuanya dieksekusi dalam satu transaksi yang terkoordinasi dengan baik. Eksploitasi ini tidak melibatkan pelanggaran kriptografi atau kunci pribadi, melainkan manipulasi logika bisnis yang membuat sistem “mengira” penyerang diizinkan untuk menarik dana.
Tindakan Huma Finance dan Rencana Masa Depan
Huma Finance menyatakan bahwa mereka telah mulai mengurangi kolam likuiditas V1 mereka di Polygon saat eksploitasi terjadi dan kini telah sepenuhnya menghentikan semua kontrak V1 yang tersisa untuk mencegah risiko lebih lanjut. Tim juga menekankan bahwa Huma 2.0 — platform PayFi “real-yield” yang tanpa izin dan dapat disusun, diluncurkan di Solana pada April 2025 dengan dukungan dari Circle dan Solana Foundation — adalah “sebuah pembangunan ulang lengkap” dengan arsitektur yang berbeda dan tidak terhubung dengan kode V1 yang rentan.
Desain Huma 2.0 berfokus pada $PST (PayFi Strategy Token), sebuah token LP yang likuid dan menghasilkan imbal hasil yang mewakili posisi dalam strategi pembiayaan pembayaran, serta dapat diintegrasikan dengan protokol DeFi Solana seperti Jupiter, Kamino, dan RateX. Sebaliknya, kontrak V1 yang dieksploitasi merupakan bagian dari sistem kolam kredit yang lebih tua dan berizin di Polygon, yang kini telah dihentikan secara efektif.
Kesimpulan dan Peringatan
Penting untuk dicatat bahwa kerugian sekitar $101,400 USDC ini mempengaruhi likuiditas tingkat protokol warisan, bukan dompet individu. Setoran saat ini dan posisi PST di Solana dilaporkan aman. Insiden ini menambah daftar panjang eksploitasi DeFi, di mana titik lemah bukanlah skema tanda tangan, melainkan logika bisnis dalam kontrak yang sudah tua. Hal ini memperkuat alasan mengapa tim seperti Huma bermigrasi ke arsitektur yang dirancang ulang, dan mengapa pengguna harus berhati-hati terhadap kolam “warisan” dan “yang akan segera dihentikan” seperti mereka memperlakukan kode yang belum diaudit.
