Polygon پر Huma Finance کی میراثی V1 معاہدہ $101,400 USDC میں استعمال ہوا

ہما کے لیگیسی V1 پولیگون کریڈٹ پولز میں ایک منطقی بگ ایک حملہ آور کو $USDC میں تقریباً 101,400 ڈالر نکالنے دیتا ہے، لیکن اس کا سولانا پر مبنی PayFi V2 اور PST ٹوکن ساختی طور پر غیر متاثر ہیں۔

Huma Finance نے انکشاف کیا ہے کہ Polygon پر اس کے وراثت والے V1 معاہدوں کا استحصال کیا گیا، جس میں $USDC میں تقریباً $101,400 اور $USDC.e کو پرانے لیکویڈیٹی پولز سے نکالا گیا جو پہلے ہی ختم ہونے کے عمل میں تھے۔ ٹیم نے اس بات پر زور دیا کہ اس کے موجودہ PayFi پلیٹ فارم پر صارف کے کسی بھی ڈپازٹ کو خطرہ نہیں ہے، ہما کا PST ٹوکن متاثر نہیں ہوا، اور سولانا پر اس کا دوبارہ تعمیر شدہ V2 سسٹم ساختی طور پر متاثرہ معاہدوں سے الگ ہے۔

X پر ایک آفیشل پوسٹ کے مطابق، "Polygon پر Huma Finance کی V1 BaseCreditPool کی تعیناتیوں کا استحصال کیا گیا … ~$101K کے لیے۔ کل ختم: ~$101.4K ($USDC + $USDC.e)"، ٹیم کے ساتھ اس بات کی تصدیق کی گئی کہ واقعہ لائیو پروڈکشن کنٹریکٹس کی بجائے فرسودہ کنٹریکٹس تک محدود تھا۔ ویب 3 سیکیورٹی فرم Blockaid کی طرف سے ایک تفصیلی تحریر، جس کا حوالہ CryptoTimes نے دیا ہے، V1 BaseCreditPool معاہدوں کے اندر refreshAccount() نامی فنکشن میں ایک منطقی خامی کو نقصان کی وجہ بتاتا ہے، جس نے غلط طریقے سے اکاؤنٹ کی حیثیت کو "Requested کریڈٹ لائن" سے "GoodStanding چیک" میں تبدیل کر دیا۔

یہ بگ حملہ آور کو رسائی کے کنٹرول کو نظرانداز کرنے اور ٹریژری سے منسلک پولز سے فنڈز نکالنے دیتا ہے گویا وہ ایک منظور شدہ قرض لینے والا ہے۔ Blockaid کے تجزیے سے پتہ چلتا ہے کہ ایک معاہدے (0x3EBc1) سے تقریباً 82,315.57 $USDC نکالے گئے، دوسرے سے 17,290.76 $USDC.e (0x95533)، اور تیسرے (0xe8926) سے 1,783.97 $USDC.e، یا یہ سب ایک ہی طرح سے کٹے ہوئے ہیں۔ لین دین اس استحصال میں خفیہ نگاری یا نجی کلیدوں کو توڑنا شامل نہیں تھا، بلکہ کاروباری منطق میں ہیرا پھیری شامل تھی تاکہ سسٹم نے "سوچا" کہ حملہ آور کو فنڈز نکالنے کی اجازت دی گئی۔

ہما کا کہنا ہے کہ جب استحصال ہوا تو وہ پولی گون پر اپنے V1 لیکویڈیٹی پولز کو پہلے سے ہی ختم کر رہی تھی، اور اب اس نے مزید کسی خطرے کو روکنے کے لیے باقی تمام V1 معاہدوں کو مکمل طور پر روک دیا ہے۔ اپنے انکشاف میں، ٹیم نے اس بات پر زور دیا کہ Huma 2.0 - ایک بغیر اجازت، کمپوز ایبل "حقیقی پیداوار" PayFi پلیٹ فارم جو سولانا پر اپریل 2025 میں سرکل اور سولانا فاؤنڈیشن کے تعاون سے شروع ہوا - ایک مختلف فن تعمیر کے ساتھ "مکمل دوبارہ تعمیر" ہے اور کمزور V1 کوڈ سے منسلک نہیں ہے۔

Huma 2.0 کے ڈیزائن کے مراکز $PST (PayFi Strategy Token) پر ہیں، ایک مائع، پیداوار سے متعلق LP ٹوکن جو ادائیگی کی مالیاتی حکمت عملیوں میں پوزیشنوں کی نمائندگی کرتا ہے اور اسے Solana DeFi پروٹوکول جیسے Jupiter، Kamino اور RateX کے ساتھ مربوط کیا جا سکتا ہے۔ اس کے برعکس، استحصال شدہ V1 معاہدے Polygon پر ایک پرانے، اجازت یافتہ کریڈٹ پول سسٹم کا حصہ تھے، جو اب مؤثر طریقے سے ریٹائر ہو چکے ہیں۔

صارفین کے لیے، اہم فائدہ یہ ہے کہ تقریباً$101,400$USDC نقصان انفرادی بٹوے کے بجائے میراثی پروٹوکول کی سطح کی لیکویڈیٹی کو متاثر کرتا ہے، اور سولانا پر موجودہ ڈپازٹس اور PST پوزیشنز کو محفوظ بتایا جاتا ہے۔ پھر بھی، یہ واقعہ ڈی فائی کارناموں کی ایک طویل فہرست میں ایک اور مثال کا اضافہ کرتا ہے جہاں کمزور نکتہ دستخطی اسکیمیں نہیں بلکہ عمر رسیدہ معاہدوں میں کاروباری منطق تھی - اس بات کو تقویت دینے سے کہ کیوں ہما جیسی ٹیمیں دوبارہ ڈیزائن کیے گئے فن تعمیر کی طرف ہجرت کر رہی ہیں، اور کیوں صارفین کو "وراثت" اور "جلد فرسودہ ہونے والے" پولز کے ساتھ اسی احتیاط کے ساتھ برتاؤ کرنا چاہیے۔