Der alte V1-Vertrag von Huma Finance auf Polygon wurde für 101.400 USDC ausgenutzt

Ein Logikfehler in Humas alten V1-Polygon-Kreditpools ermöglichte es einem Angreifer, etwa 101.400 US-Dollar an USDC abzuschöpfen, aber sein auf Solana basierendes PayFi V2 und sein PST-Token bleiben strukturell unberührt.

Huma Finance hat bekannt gegeben, dass seine alten V1-Kontrakte auf Polygon ausgenutzt wurden, wobei etwa 101.400 US-Dollar in USDC und USDC.e aus alten Liquiditätspools abgezogen wurden, die bereits abgewickelt wurden. Das Team betonte, dass keine Benutzereinzahlungen auf seiner aktuellen PayFi-Plattform gefährdet seien, der PST-Token von Huma nicht betroffen sei und sein neu gestaltetes V2-System auf Solana strukturell von den betroffenen Verträgen getrennt sei.

Laut einem offiziellen Beitrag auf Ein ausführlicher Bericht des Web3-Sicherheitsunternehmens Blockaid, der von CryptoTimes zitiert wird, führt den Verlust auf einen Logikfehler in einer Funktion namens „refreshAccount()“ in den BaseCreditPool-Verträgen der Version 1 zurück, der den Status eines Kontos ohne ausreichende Prüfungen fälschlicherweise von „Angeforderter Kreditrahmen“ in „GoodStanding“ geändert hat.

Dieser Fehler ermöglichte es dem Angreifer, Zugriffskontrollen zu umgehen und Gelder aus mit dem Finanzministerium verbundenen Pools abzuheben, als wäre er ein zugelassener Kreditnehmer. Die Analyse von Blockaid zeigt, dass etwa 82.315,57 $USDC von einem Vertrag (0x3EBc1), 17.290,76 $USDC.e von einem anderen (0x95533) und 1.783,97 $USDC.e von einem dritten (0xe8926) abgezogen wurden, alles in einer eng orchestrierten Sequenz, die in einer einzigen Transaktion ausgeführt wurde. Bei dem Exploit ging es nicht darum, Kryptografie oder private Schlüssel zu knacken, sondern vielmehr um die Manipulation der Geschäftslogik, sodass das System „dachte“, der Angreifer dürfe Gelder abheben.

Huma sagt, dass es seine V1-Liquiditätspools auf Polygon bereits auslaufen ließ, als der Exploit stattfand, und nun alle verbleibenden V1-Verträge vollständig pausiert hat, um weitere Risiken zu verhindern. In seiner Offenlegung betonte das Team, dass Huma 2.0 – eine erlaubnislose, zusammensetzbare „Real-Yield“-PayFi-Plattform, die im April 2025 mit Unterstützung von Circle und der Solana Foundation auf Solana gestartet wurde – „ein kompletter Neuaufbau“ mit einer anderen Architektur ist und nicht mit dem anfälligen V1-Code verbunden ist.

Das Design von Huma 2.0 konzentriert sich auf den $PST (PayFi Strategy Token), einen liquiden, renditebringenden LP-Token, der Positionen in Zahlungsfinanzierungsstrategien repräsentiert und in Solana-DeFi-Protokolle wie Jupiter, Kamino und RateX integriert werden kann. Im Gegensatz dazu waren die ausgenutzten V1-Verträge Teil eines älteren, genehmigten Credit-Pool-Systems auf Polygon, das nun praktisch außer Betrieb ist.

Für die Nutzer ist die wichtigste Erkenntnis, dass der Verlust von rund 101.400 $USDC die Liquidität auf der Ebene des alten Protokolls und nicht einzelne Wallets getroffen hat und dass aktuelle Einlagen und PST-Positionen auf Solana als sicher gemeldet werden. Dennoch fügt der Vorfall ein weiteres Beispiel zu einer langen Liste von DeFi-Exploits hinzu, bei denen die Schwachstelle nicht in Signaturschemata, sondern in der Geschäftslogik in veralteten Verträgen lag – was unterstreicht, warum Teams wie Huma auf neu gestaltete Architekturen migrieren und warum Benutzer „alte“ und „bald veraltete“ Pools mit der gleichen Vorsicht behandeln sollten, die sie ungeprüftem Code vorbehalten.