Logikfehler entzieht Humas alten Polygon-Verträgen 101.000 $

Ein Angriff auf die V1-Smart-Contracts von Huma Finance auf Polygon führte zu einem Verlust von 101.400 USDC. Der Exploit verschlimmerte eine ohnehin schwierige Zeit für DeFi-Protokolle im Netzwerk.

Der Exploit wurde von der Web3-Sicherheitsfirma Blockaid gemeldet. Der Angreifer zielte auf BaseCreditPool-Deployments ab, die mit Humas älterer V1-Infrastruktur zusammenhängen. Der Gesamtverlust betrug ~101.400 in USDC und USDC.e über verschiedene Contracts hinweg.

Huma Finance bestätigte den Vorfall auf X und erklärte: „Keine Nutzerfonds sind gefährdet und PST ist nicht betroffen." Das Team teilte mit, dass sein V2-System, das auf Solana läuft, von Grund auf neu entwickelt wurde. Es teilt keinen Code mit den kompromittierten Contracts.

Humas V1-Fehler lag in einer Funktion

Der Smart-Contract-Fehler wurde in einer Funktion namens refreshAccount() gefunden. Es handelt sich um eine Funktion innerhalb der V1-BaseCreditPool-Contracts. Blockaid-Sicherheitsforscher identifizierten den Bug. Sie teilten weitere Informationen auf X mit und sagten:

refreshAccount() markierte Konten mit „gutem Stand" ohne tatsächliche Verifizierung oder Bedingungen. Der Angreifer nutzte diesen Fehler aus und leerte die Treasury-Pools des Protokolls.

Die Verluste wurden laut Blockaid's On-Chain-Analyse in drei Contracts gefunden. Ein Konto verlor ~82.300 USDC. Ein zweites verlor ~17.300 USDC.e. Und ein drittes Konto verlor ~1.800 USDC.e. Laut On-Chain-Daten wurde der gesamte Exploit in einer einzigen Transaktion abgeschlossen.

Es gab kein kryptografisches Problem. Der Angreifer änderte lediglich die Zustandsmaschine des Contracts, um ihn dazu zu bringen, ein nicht autorisiertes Konto als legitim zu behandeln.

Humas Team schrieb auf X: „Heute früh wurde eine Schwachstelle in Humas Legacy-V1-Contracts auf Polygon für 101.400 USDC ausgenutzt." Sie fügten hinzu: „Humas V2-System auf Solana ist eine vollständige Neuentwicklung, und dieses Problem gilt nicht für V2-Systeme."

Huma erklärte, dass das Unternehmen den V1-Betrieb bereits vor dem Exploit eingestellt hatte. Das Team sagte auf X: „Die Teams befanden sich bereits im Prozess, alle Legacy-V1-Pools einzustellen, und haben V1 nun vollständig pausiert."

Nach dem Vorfall pausierte das Team alle verbleibenden V1-Contracts vollständig. Das Unternehmen teilte mit, dass die Nutzereinzahlungen auf V2 unberührt blieben und die neuere Plattform weiterhin normal betrieben wird.

Polygon hatte einen schlechten Tag

Laut einem aktuellen Bericht von Cryptopolitan ereignete sich der Exploit am selben Tag, an dem Ink Finance fast 140.000 US-Dollar aus seinem Workspace Treasury Proxy Contract auf Polygon verlor. Der Angreifer deployte einen Contract, der einer Whitelist-Adresse eines berechtigten Antragstellers entsprach, um Berechtigungsprüfungen zu umgehen.

In beiden Vorfällen fanden die Angreifer Logikfehler im Smart-Contract-Design. Die aufeinanderfolgenden Exploits auf Polygon kommen nach April 2026, der den Rekord für den schlimmsten Monat bei Smart-Contract-Verlusten aufgestellt hat.

Wenn Sie das lesen, sind Sie bereits einen Schritt voraus. Bleiben Sie es mit unserem Newsletter.