Логическая уязвимость опустошила старые контракты Huma на Polygon на 101 000 $

Атака на смарт-контракты V1 Huma Finance в сети Polygon привела к потере 101 400$ USDC. Этот эксплойт усугубил и без того трудное время для DeFi-протоколов в сети.

Об эксплойте сообщила компания по безопасности web3 Blockaid. Злоумышленник атаковал развертывания BaseCreditPool, связанные со старой инфраструктурой V1 Huma. Общие потери составили ~101 400$ в монетах USDC и USDC.e в различных контрактах.

Huma Finance подтвердила инцидент в X, заявив: «Средства пользователей не пострадали, PST не затронут». Команда сообщила, что её система V2, работающая на Solana, была создана с нуля и не имеет общего кода с взломанными контрактами.

Уязвимость V1 Huma заключалась в одной функции

Уязвимость смарт-контракта была обнаружена внутри функции refreshAccount(). Эта функция расположена в контрактах V1 BaseCreditPool. Исследователи безопасности Blockaid выявили ошибку и поделились подробностями в X, сообщив:

refreshAccount() помечала аккаунты как «добросовестные» без реальной проверки или условий. Злоумышленник воспользовался этой уязвимостью и вывел средства из казначейских пулов протокола.

Согласно ончейн-анализу Blockaid, потери были зафиксированы в трёх контрактах. Один аккаунт потерял ~82 300$ USDC. Второй — ~17 300$ USDC.e. Третий аккаунт потерял ~1 800$ USDC.e. По данным ончейн-информации, весь эксплойт был завершён в одной транзакции.

Криптографических проблем не было. Злоумышленник просто изменил машину состояний контракта, чтобы заставить её воспринимать несанкционированный аккаунт как легитимный.

Команда Huma написала в X: «Сегодня ранее уязвимость в устаревших контрактах v1 Huma на Polygon была использована для вывода 101 400$ USDC». Они продолжили: «Система v2 Huma на Solana — это полная переработка, и данная проблема не распространяется на системы v2».

Huma сообщила, что уже сворачивала операции V1 до того, как произошёл эксплойт. Команда написала в X: «Команды уже находились в процессе закрытия всех устаревших пулов v1 и теперь полностью приостановили v1».

После инцидента команда полностью приостановила все оставшиеся контракты V1. Компания сообщила, что ончейн депозиты пользователей на V2 не затронуты и что новая платформа продолжает работать в штатном режиме.

Неудачный день для Polygon

Согласно недавнему отчёту Cryptopolitan, эксплойт произошёл в тот же день, когда Ink Finance потеряла почти 140 000$ из своего контракта Workspace Treasury Proxy на Polygon. Злоумышленник развернул контракт, соответствующий адресу из белого списка адресов, чтобы обойти проверки соответствия требованиям.

В обоих инцидентах злоумышленники обнаружили логические ошибки в дизайне смарт-контрактов. Череда эксплойтов на Polygon последовала за апрелем 2026 года, который установил рекорд как худший месяц по потерям от смарт-контрактов.

Если вы читаете это, вы уже впереди. Оставайтесь в курсе с нашей рассылкой.