Logicfout trekt $101K weg uit Huma's oude Polygon-contracten

Een aanval op de V1 smart contracts van Huma Finance op Polygon resulteerde in een verlies van $101.400 aan USDC. De exploit voegde zich bij wat al een moeilijke periode was voor DeFi-protocollen op het netwerk.

De exploit werd gemeld door web3-beveiligingsbedrijf Blockaid. De aanvaller richtte zich op BaseCreditPool-implementaties die verband houden met Huma's oudere V1-infrastructuur. Het totale verlies bedroeg ~$101.400 aan USDC en USDC.e-munten over verschillende contracten.

Huma Finance bevestigde het incident op X en zei: "Geen gebruikersfondsen in gevaar en PST wordt niet beïnvloed." Het team zei dat zijn V2-systeem, dat draait op Solana, van nul af aan is gebouwd. Het deelt geen code met de gecompromitteerde contracten.

Huma's V1-fout zat in één functie

De fout in het smart contract werd gevonden in een functie genaamd refreshAccount(). Het is een functie die zich bevindt in de V1 BaseCreditPool-contracten. Blockaid-beveiligingsonderzoekers identificeerden de bug. Ze deelden meer informatie op X en zeiden:

refreshAccount() labelde accounts als 'in goede staat' zonder daadwerkelijke verificatie of voorwaarden. De aanvaller maakte misbruik van deze fout en liet fondsen weglopen uit de treasury pools van het protocol.

De verliezen werden gevonden in drie contracten volgens de on-chain analyse van Blockaid. Één account verloor ~82.300 USDC. Een tweede verloor ~17.300 USDC.e. En een derde account verloor ~1.800 USDC.e. Volgens on-chain gegevens werd de volledige exploit voltooid in één transactie.

Er was geen cryptografisch probleem. De aanvaller veranderde gewoon de toestandsmachine van het contract om het te laten geloven dat een ongeautoriseerd account legitiem was.

Het team van Huma schreef op X: "Eerder vandaag werd een kwetsbaarheid in Huma's verouderde v1-contracten op Polygon uitgebuit voor 101.400 USDC." Ze vervolgden: "Huma's v2-systeem op Solana is volledig herschreven en dit probleem is niet van toepassing op v2-systemen."

Huma zei dat het al bezig was de V1-activiteiten af te bouwen voordat de exploit plaatsvond. Het team zei op X: "De teams waren al bezig met het uitfaseren van alle verouderde v1-pools en hebben v1 nu volledig gepauzeerd."

Na het incident heeft het team alle resterende V1-contracten volledig gepauzeerd. Het bedrijf zei dat gebruikersstortingen op V2 onaangetast waren en dat het nieuwere platform normaal blijft functioneren.

Polygon had een slechte dag

Volgens een recent rapport van Cryptopolitan vond de exploit plaats op dezelfde dag dat Ink Finance bijna $140.000 verloor uit zijn Workspace Treasury Proxy-contract op Polygon. De aanvaller implementeerde een contract dat overeenkwam met een op de whitelist geplaatst claimerAdres om geschiktheidscontroles te omzeilen.

In beide gevallen vonden de aanvallers logische fouten in het ontwerp van smart contracts. De opeenvolgende exploits op Polygon komen na april 2026, waarmee het record werd gevestigd voor de slechtste maand van smart contract-verliezen.

Als u dit leest, loopt u al voor. Blijf dat doen met onze nieuwsbrief.