Huma Finance의 해킹 사건 개요
Huma Finance의 레거시 V1 Polygon 신용 풀에서 발생한 논리적 버그로 인해 공격자가 약 $101,400의 USDC를 탈취했습니다. 그러나 Solana 기반의 PayFi V2와 PST 토큰은 구조적으로 영향을 받지 않았습니다.
사건의 세부 사항
Huma Finance는 Polygon의 레거시 V1 계약이 해킹당했으며, 이미 종료 절차에 있던 구형 유동성 풀에서 약 $101,400의 USDC와 USDC.e가 탈취되었다고 밝혔습니다. 팀은 현재 PayFi 플랫폼의 사용자 예치금은 위험에 처해 있지 않으며, Huma의 PST 토큰은 영향을 받지 않았고, Solana에서 재구성된 V2 시스템은 영향을 받은 계약과 구조적으로 분리되어 있다고 강조했습니다.
“Huma Finance의 V1 BaseCreditPool 배포가 Polygon에서 해킹당했습니다… 약 $101K에 해당합니다. 총 탈취액: 약 $101.4K (USDC + USDC.e)”
해킹의 원인
CryptoTimes에 인용된 Web3 보안 회사 Blockaid의 상세 분석에 따르면, 손실은 V1 BaseCreditPool 계약 내의 refreshAccount라는 함수의 논리적 결함으로 인해 발생했으며, 이 함수는 충분한 검증 없이 계정의 상태를 “요청된 신용 한도”에서 “양호한 상태”로 잘못 변경했습니다. 이 버그는 공격자가 접근 제어를 우회하고 승인된 차입자처럼 재무 연결 풀에서 자금을 인출할 수 있게 했습니다.
Blockaid의 분석에 따르면, 한 계약(0x3EBc1)에서 약 82,315.57 USDC가 탈취되었고, 다른 계약(0x95533)에서 17,290.76 USDC.e, 세 번째 계약(0xe8926)에서 1,783.97 USDC.e가 탈취되었으며, 모두 단일 거래에서 긴밀하게 조정된 순서로 실행되었습니다.
Huma Finance의 대응
이번 해킹은 암호화나 개인 키를 깨는 것이 아니라 비즈니스 논리를 조작하여 시스템이 공격자가 자금을 인출할 수 있다고 “생각”하게 만든 것입니다. Huma는 해킹이 발생했을 때 이미 Polygon에서 V1 유동성 풀을 단계적으로 종료하고 있었으며, 현재는 추가 위험을 방지하기 위해 모든 남은 V1 계약을 완전히 중단했습니다.
팀은 Huma 2.0 — Circle과 Solana Foundation의 지원을 받아 2025년 4월 Solana에서 출시될 허가 없는, 조합 가능한 “실제 수익” PayFi 플랫폼 — 이 “완전한 재구성”으로 다른 아키텍처를 가지고 있으며 취약한 V1 코드와 연결되어 있지 않다고 강조했습니다.
PST 토큰과 사용자 안전
Huma 2.0의 설계는 $PST (PayFi Strategy Token)에 중점을 두고 있으며, 이는 결제 금융 전략의 포지션을 나타내는 유동적이고 수익을 발생시키는 LP 토큰으로, Jupiter, Kamino 및 RateX와 같은 Solana DeFi 프로토콜과 통합될 수 있습니다. 반면, 해킹당한 V1 계약은 이제 사실상 은퇴한 구형 허가된 신용 풀 시스템의 일부였습니다.
사용자에게 중요한 점은 약 $101,400 USDC 손실이 개별 지갑이 아닌 레거시 프로토콜 수준의 유동성에 영향을 미쳤으며, 현재 Solana의 예치금과 PST 포지션은 안전하다고 보고된다는 것입니다. 그럼에도 불구하고 이번 사건은 서명 체계가 아닌 노후 계약의 비즈니스 논리가 약점이었던 DeFi 해킹 사례의 긴 목록에 또 하나의 예를 추가하며, Huma와 같은 팀들이 재설계된 아키텍처로 이전하고 있는 이유와 사용자들이 “레거시” 및 “곧 사용 중단될” 풀을 감사되지 않은 코드에 대해 주의해야 하는 이유를 강화합니다.
