Insidente ng Pag-exploit sa Huma Finance
Isang bug sa lohika sa legacy V1 credit pools ng Huma Finance sa Polygon ang nagbigay-daan sa isang attacker na maubos ang humigit-kumulang $101,400 sa USDC. Gayunpaman, ang kanilang Solana-based na PayFi V2 at PST token ay nananatiling hindi naapektuhan.
Pag-anunsyo ng Huma Finance
Inanunsyo ng Huma Finance na ang kanilang legacy V1 contracts sa Polygon ay na-exploit, kung saan humigit-kumulang $101,400 sa USDC at USDC.e ang naubos mula sa mga lumang liquidity pools na nasa proseso na ng pagwawakas. Binibigyang-diin ng team na walang panganib ang mga deposito ng mga user sa kanilang kasalukuyang PayFi platform, at hindi naapektuhan ang PST token ng Huma.
Detalye ng Insidente
Ayon sa isang opisyal na post sa X, “Ang V1 BaseCreditPool deployments ng Huma Finance sa Polygon ay na-exploit … para sa ~$101K. Kabuuang naubos: ~$101.4K (USDC + USDC.e),” na kinumpirma ng team na ang insidente ay nakatuon sa mga deprecated na kontrata sa halip na mga live production vaults.
Isang detalyadong pagsusuri mula sa Web3 security firm na Blockaid, na binanggit ng CryptoTimes, ay nag-attribute ng pagkawala sa isang flaw sa lohika sa isang function na tinatawag na refreshAccount sa loob ng V1 BaseCreditPool contracts. Ang flaw na ito ay mali na binago ang status ng isang account mula “Requested credit line” patungong “GoodStanding” nang walang sapat na mga tseke.
Paraan ng Pag-exploit
Ang bug na iyon ay nagbigay-daan sa attacker na malampasan ang mga access control at bawiin ang mga pondo mula sa mga treasury-linked pools na parang sila ay isang aprubadong borrower. Ipinapakita ng pagsusuri ng Blockaid na humigit-kumulang 82,315.57 USDC ang naubos mula sa isang kontrata (0x3EBc1), 17,290.76 USDC.e mula sa isa pang (0x95533), at 1,783.97 USDC.e mula sa isang pangatlo (0xe8926), lahat sa isang mahigpit na orchestrated na pagkakasunod-sunod na naisakatuparan sa isang solong transaksyon.
Mga Hakbang ng Huma Finance
Sinabi ng Huma na sila ay nasa proseso na ng pag-phase out ng kanilang V1 liquidity pools sa Polygon nang mangyari ang exploit, at ngayon ay ganap na nilang pinahinto ang lahat ng natitirang V1 contracts upang maiwasan ang anumang karagdagang panganib. Sa kanilang pag-anunsyo, binigyang-diin ng team na ang Huma 2.0 — isang permissionless, composable na “real-yield” PayFi platform na inilunsad sa Solana noong Abril 2025 na may suporta mula sa Circle at Solana Foundation — ay “isang kumpletong rebuild” na may ibang arkitektura at hindi konektado sa mahina na V1 code.
Impormasyon para sa mga User
Para sa mga user, ang pangunahing takeaway ay ang humigit-kumulang $101,400 USDC na pagkawala ay tumama sa legacy protocol-level liquidity sa halip na mga indibidwal na wallets, at ang mga kasalukuyang deposito at PST positions sa Solana ay iniulat na ligtas. Gayunpaman, ang insidente ay nagdaragdag ng isa pang halimbawa sa mahabang listahan ng mga DeFi exploits kung saan ang mahina na punto ay hindi mga signature schemes kundi business logic sa mga tumatandang kontrata.
Pinatitibay nito kung bakit ang mga team tulad ng Huma ay lumilipat sa mga redesigned architectures, at kung bakit dapat tratuhin ng mga user ang “legacy” at “malapit nang ma-deprecate” na pools na may parehong pag-iingat na inilalaan nila para sa mga hindi na-audit na code.
