Contrat V1 hérité de Huma Finance sur Polygon exploité pour 101 400 $ USDC

Un bug logique dans les anciens pools de crédit Polygon V1 de Huma a permis à un attaquant de drainer environ 101 400 $ en USDC, mais ses jetons PayFi V2 et PST basés sur Solana restent structurellement inchangés.

Huma Finance a révélé que ses anciens contrats V1 sur Polygon avaient été exploités, avec environ 101 400 $ en $USDC et $USDC.e drainés d'anciens pools de liquidités qui étaient déjà en train d'être liquidés. L’équipe a souligné qu’aucun dépôt d’utilisateur sur sa plate-forme PayFi actuelle n’est menacé, que le jeton PST de Huma n’a pas été affecté et que son système V2 restructuré sur Solana est structurellement distinct des contrats concernés.

Selon un article officiel sur X, "Les déploiements V1 BaseCreditPool de Huma Finance sur Polygon ont été exploités... pour ~ 101 000 $. Total drainé : ~ 101,4 000 $ ($ USDC + $ USDC.e)", l'équipe confirmant que l'incident s'est limité à des contrats obsolètes plutôt qu'à des coffres de production en direct. Un article détaillé de la société de sécurité Web3 Blockaid, cité par CryptoTimes, attribue la perte à un défaut logique dans une fonction appelée rafraîchirAccount() à l'intérieur des contrats BaseCreditPool V1, qui a modifié de manière incorrecte le statut d'un compte de « Ligne de crédit demandée » à « GoodStanding » sans vérifications suffisantes.

Ce bug permettait à l’attaquant de contourner les contrôles d’accès et de retirer des fonds des pools liés à la trésorerie comme s’il était un emprunteur approuvé. L'analyse de Blockaid montre qu'environ 82 315,57 $USDC ont été drainés d'un contrat (0x3EBc1), 17 290,76 $USDC.e d'un autre (0x95533) et 1 783,97 $USDC.e d'un troisième (0xe8926), le tout dans une séquence étroitement orchestrée qui s'est exécutée en une seule transaction. L’exploit n’impliquait pas de casser la cryptographie ou les clés privées, mais plutôt de manipuler la logique métier afin que le système « pense » que l’attaquant était autorisé à retirer des fonds.

Huma affirme qu'elle avait déjà supprimé progressivement ses pools de liquidités V1 sur Polygon lorsque l'exploit s'est produit et qu'elle a désormais complètement suspendu tous les contrats V1 restants pour éviter tout risque supplémentaire. Dans sa divulgation, l'équipe a souligné que Huma 2.0 – une plate-forme PayFi à « rendement réel » composable et sans autorisation qui a été lancée sur Solana en avril 2025 avec le soutien de Circle et de la Fondation Solana – est « une reconstruction complète » avec une architecture différente et n'est pas connectée au code vulnérable V1.

La conception de Huma 2.0 est centrée sur le $PST (PayFi Strategy Token), un jeton LP liquide et porteur de rendement qui représente les positions dans les stratégies de financement des paiements et peut être intégré aux protocoles Solana DeFi tels que Jupiter, Kamino et RateX. En revanche, les contrats V1 exploités faisaient partie d'un ancien système de pool de crédits autorisé sur Polygon, désormais effectivement retiré.

Pour les utilisateurs, l’essentiel à retenir est que la perte d’environ 101 400 $ USDC a touché la liquidité au niveau du protocole existant plutôt que les portefeuilles individuels, et que les dépôts actuels et les positions PST sur Solana sont signalés comme sûrs. Pourtant, l’incident ajoute un autre exemple à une longue liste d’exploits DeFi où le point faible n’était pas les schémas de signature mais la logique métier dans les contrats vieillissants – renforçant la raison pour laquelle des équipes comme Huma migrent vers des architectures repensées et pourquoi les utilisateurs devraient traiter les pools « hérités » et « bientôt obsolètes » avec la même prudence qu’ils réservent au code non audité.