Contrato heredado V1 de Huma Finance en Polygon explotado por $101,400 USDC

Un error lógico en los fondos de crédito V1 Polygon heredados de Huma permitió que un atacante drenara alrededor de $101,400 en $USDC, pero su token PayFi V2 y PST basado en Solana no se ve afectado estructuralmente.

Huma Finance ha revelado que sus contratos V1 heredados en Polygon fueron explotados, con aproximadamente $101,400 en $USDC y $USDC.e drenados de antiguos fondos de liquidez que ya estaban en proceso de liquidación. El equipo enfatizó que ningún depósito de usuario en su plataforma PayFi actual está en riesgo, el token PST de Huma no se vio afectado y su sistema V2 rediseñado en Solana está estructuralmente separado de los contratos afectados.

Según una publicación oficial en X, "Las implementaciones V1 BaseCreditPool de Huma Finance en Polygon fueron explotadas... por ~$101.000. Total drenado: ~$101.400 ($USDC + $USDC.e)", y el equipo confirmó que el incidente se limitó a contratos obsoletos en lugar de bóvedas de producción en vivo. Un artículo detallado de la firma de seguridad Web3 Blockaid, citado por CryptoTimes, atribuye la pérdida a una falla lógica en una función llamada actualizarAccount() dentro de los contratos V1 BaseCreditPool, que cambió incorrectamente el estado de una cuenta de "Línea de crédito solicitada" a "Buena situación" sin suficientes controles.

Ese error permitió al atacante eludir los controles de acceso y retirar fondos de fondos vinculados al tesoro como si fueran un prestatario aprobado. El análisis de Blockaid muestra alrededor de 82.315,57 $USDC drenados de un contrato (0x3EBc1), 17.290,76 $USDC.e de otro (0x95533) y 1.783,97 $USDC.e de un tercero (0xe8926), todo en una secuencia estrechamente orquestada que se ejecutó en una sola transacción. El exploit no implicó romper criptografía o claves privadas, sino más bien manipular la lógica empresarial para que el sistema "pensara" que el atacante podía retirar fondos.

Huma dice que ya había estado eliminando gradualmente sus fondos de liquidez V1 en Polygon cuando ocurrió el exploit, y ahora ha pausado por completo todos los contratos V1 restantes para evitar cualquier riesgo adicional. En su divulgación, el equipo enfatizó que Huma 2.0, una plataforma PayFi de “rendimiento real” componible y sin permiso que se lanzó en Solana en abril de 2025 con el apoyo de Circle y la Fundación Solana, es “una reconstrucción completa” con una arquitectura diferente y no está conectada al código V1 vulnerable.

El diseño de Huma 2.0 se centra en el $PST (PayFi Strategy Token), un token LP líquido y rentable que representa posiciones en estrategias de financiación de pagos y puede integrarse con protocolos Solana DeFi como Jupiter, Kamino y RateX. Por el contrario, los contratos V1 explotados formaban parte de un sistema de fondo de crédito autorizado más antiguo en Polygon, ahora efectivamente retirado.

Para los usuarios, la conclusión clave es que la pérdida de aproximadamente $101,400 $USDC afectó a la liquidez a nivel de protocolo heredado en lugar de a las billeteras individuales, y que los depósitos actuales y las posiciones PST en Solana se reportan como seguros. Aun así, el incidente añade otro ejemplo a una larga lista de exploits DeFi donde el punto débil no eran los esquemas de firma sino la lógica empresarial en contratos antiguos, lo que refuerza por qué equipos como Huma están migrando a arquitecturas rediseñadas y por qué los usuarios deberían tratar los grupos "heredados" y "que pronto quedarán obsoletos" con la misma precaución que reservan para el código no auditado.