Logikbugg i Humas Legacy V1 Polygon-kreditpooler
En logikbugg i Humas legacy V1 Polygon-kreditpooler gjorde det möjligt för en angripare att tömma cirka $101,400 i USDC. Trots detta förblir Humas Solana-baserade PayFi V2 och PST-token strukturellt opåverkade.
Incidentens Detaljer
Huma Finance har bekräftat att deras legacy V1-kontrakt på Polygon utnyttjades, vilket resulterade i att ungefär $101,400 i USDC och USDC.e tömdes från gamla likviditetspooler som redan var i processen att avvecklas. Teamet betonade att inga användardepositioner på den nuvarande PayFi-plattformen är i riskzonen, att Humas PST-token inte påverkades, och att det omdesignade V2-systemet på Solana är strukturellt separerat från de drabbade kontrakten.
”Huma Finance’s V1 BaseCreditPool-deployment på Polygon utnyttjades … för ~$101K. Totalt tömt: ~$101.4K (USDC + USDC.e)”
Teamet bekräftade att incidenten var begränsad till avvecklade kontrakt snarare än aktiva produktionsvalv. En detaljerad rapport från Web3-säkerhetsföretaget Blockaid, citerad av CryptoTimes, tillskriver förlusten en logikbrist i en funktion som kallas refreshAccount inuti V1 BaseCreditPool-kontrakten. Denna brist gjorde att en kontos status felaktigt ändrades från ”Begärt kreditlinje” till ”God status” utan tillräckliga kontroller.
Utnyttjandets Mekanism
Detta möjliggjorde för angriparen att kringgå åtkomstkontroller och ta ut medel från treasury-kopplade pooler som om de var en godkänd låntagare. Blockaids analys visar att cirka 82,315.57 USDC tömdes från ett kontrakt (0x3EBc1), 17,290.76 USDC.e från ett annat (0x95533), och 1,783.97 USDC.e från ett tredje (0xe8926), allt i en noggrant orkestrerad sekvens som utfördes i en enda transaktion.
Utnyttjandet involverade inte att bryta kryptografi eller privata nycklar, utan snarare att manipulera affärslogik så att systemet ”trodde” att angriparen hade rätt att ta ut medel. Huma meddelar att de redan hade påbörjat avvecklingen av sina V1-likviditetspooler på Polygon när utnyttjandet inträffade, och har nu helt pausat alla återstående V1-kontrakt för att förhindra ytterligare risker.
Framtiden för Huma Finance
I sitt meddelande betonade teamet att Huma 2.0 — en permissionless, komponerbar ”real-yield” PayFi-plattform som lanserades på Solana i april 2025 med stöd från Circle och Solana Foundation — är ”en fullständig ombyggnad” med en annan arkitektur och inte är kopplad till den sårbara V1-koden.
Huma 2.0:s design centreras kring $PST (PayFi Strategy Token), en likvid, avkastande LP-token som representerar positioner i betalningsfinansieringsstrategier och kan integreras med Solana DeFi-protokoll som Jupiter, Kamino och RateX. I kontrast var de utnyttjade V1-kontrakten en del av ett äldre, permissioned kreditpoolssystem på Polygon, som nu effektivt har pensionerats.
Slutsats
För användare är den viktigaste slutsatsen att den ungefärliga förlusten på $101,400 USDC drabbade legacy protokollnivå likviditet snarare än individuella plånböcker, och att aktuella insättningar och PST-positioner på Solana rapporteras som säkra. Ändå lägger incidenten till ytterligare ett exempel på en lång lista av DeFi-utnyttjanden där svagheten inte var signaturer utan affärslogik i åldrande kontrakt — vilket förstärker varför team som Huma migrerar till omdesignade arkitekturer, och varför användare bör behandla ”legacy” och ”snart avvecklade” pooler med samma försiktighet som de reserverar för oauktoriserad kod.
