Унаследованный контракт Huma Finance V1 на Polygon использован за 101 400 долларов США
Логическая ошибка в устаревших кредитных пулах Huma V1 Polygon позволила злоумышленнику истощить около 101 400 долларов США в долларах США, но его токен PayFi V2 и PST на основе Solana структурно не пострадал.
Huma Finance сообщила, что ее устаревшие контракты V1 на Polygon были использованы, при этом примерно 101 400 долларов США в $USDC и $USDC.e были выведены из старых пулов ликвидности, которые уже находились в процессе закрытия. Команда подчеркнула, что никакие пользовательские депозиты на ее текущей платформе PayFi не подвергаются риску, токен PST Huma не пострадал, а ее переработанная система V2 на Solana структурно отделена от затронутых контрактов.
Согласно официальному сообщению на X, «развертывание BaseCreditPool V1 компании Huma Finance на Polygon было использовано… на ~$101 тыс. Общая сумма слитых средств: ~$101,4 тыс. ($USDC + $USDC.e)», причем команда подтвердила, что инцидент был ограничен устаревшими контрактами, а не действующими производственными хранилищами. В подробном отчете компании Blockaid, занимающейся безопасностью Web3, на которое ссылается CryptoTimes, потеря объясняется логической ошибкой в функции под названием обновитьAccount() внутри контрактов BaseCreditPool V1, которая неправильно изменила статус учетной записи с «Запрошенная кредитная линия» на «GoodStanding» без достаточных проверок.
Эта ошибка позволяла злоумышленнику обойти контроль доступа и вывести средства из пулов, связанных с казначейством, как если бы они были одобренным заемщиком. Анализ Blockaid показывает, что около 82 315,57 долларов США USDC были изъяты из одного контракта (0x3EBc1), 17 290,76 долларов США USDC.e из другого (0x95533) и 1 783,97 долларов США USDC.e из третьего (0xe8926), и все это в четко организованной последовательности, которая выполнялась в одной транзакции. Эксплойт не включал взлом криптографии или закрытых ключей, а скорее манипулировал бизнес-логикой, чтобы система «думала», что злоумышленнику разрешено выводить средства.
Huma заявляет, что на момент возникновения эксплойта она уже постепенно сокращала свои пулы ликвидности V1 на Polygon, а теперь полностью приостановила все оставшиеся контракты V1, чтобы предотвратить дальнейший риск. В своем раскрытии команда подчеркнула, что Huma 2.0 — не требующая разрешения, компонуемая платформа PayFi с «реальной доходностью», запущенная на Solana в апреле 2025 года при поддержке Circle и Solana Foundation — представляет собой «полную перестройку» с другой архитектурой и не связана с уязвимым кодом V1.
В основе дизайна Huma 2.0 лежит $PST (токен стратегии PayFi), ликвидный, приносящий доход токен LP, который представляет позиции в стратегиях финансирования платежей и может быть интегрирован с протоколами Solana DeFi, такими как Jupiter, Kamino и RateX. Напротив, использованные контракты V1 были частью старой, разрешенной системы пула кредитов на Polygon, которая сейчас фактически упразднена.
Для пользователей ключевым выводом является то, что потеря примерно 101 400 долларов США в долларах США ударила по ликвидности на уровне устаревшего протокола, а не по отдельным кошелькам, и что текущие депозиты и позиции PST на Solana считаются безопасными. Тем не менее, этот инцидент добавляет еще один пример к длинному списку эксплойтов DeFi, где слабым местом были не схемы подписи, а бизнес-логика в устаревших контрактах, что подтверждает, почему такие команды, как Huma, переходят на переработанные архитектуры и почему пользователи должны относиться к «устаревшим» и «скоро устаревшим» пулам с той же осторожностью, которую они проявляют к непроверенному коду.