Vorfall bei Huma Finance
Ein Logikfehler in den Legacy V1 Kreditpools von Huma Finance auf Polygon ermöglichte es einem Angreifer, etwa 101.400 USDC abzuziehen. Die auf Solana basierende PayFi V2 und der PST-Token blieben dabei strukturell unberührt.
Details des Angriffs
Huma Finance gab bekannt, dass seine Legacy V1 Verträge auf Polygon ausgenutzt wurden, wobei rund 101.400 USDC und USDC.e aus alten Liquiditätspools abgezogen wurden, die sich bereits im Abwicklungsprozess befanden. Das Team betonte, dass keine Benutzer-Einlagen auf der aktuellen PayFi-Plattform gefährdet sind, dass Humas PST-Token nicht betroffen war und das neu gestaltete V2-System auf Solana strukturell von den betroffenen Verträgen getrennt ist.
Laut einem offiziellen Beitrag auf X wurden die „Huma Finance V1 BaseCreditPool-Implementierungen auf Polygon … für etwa 101.000 USDC ausgenutzt. Insgesamt abgezogen: etwa 101.400 USDC (USDC + USDC.e)“.
Das Team bestätigte, dass der Vorfall auf veraltete Verträge und nicht auf aktive Produktionsvaults beschränkt war. Ein detaillierter Bericht der Web3-Sicherheitsfirma Blockaid, zitiert von CryptoTimes, führt den Verlust auf einen Logikfehler in einer Funktion namens „refreshAccount“ innerhalb der V1 BaseCreditPool-Verträge zurück. Diese Funktion änderte den Status eines Kontos fälschlicherweise von „Angeforderte Kreditlinie“ auf „Guter Stand“, ohne ausreichende Überprüfungen.
Analyse des Exploits
Dieser Fehler ermöglichte es dem Angreifer, Zugangskontrollen zu umgehen und Gelder aus mit dem Tresor verbundenen Pools abzuheben, als ob er ein genehmigter Kreditnehmer wäre. Blockaids Analyse zeigt, dass etwa 82.315,57 USDC aus einem Vertrag (0x3EBc1), 17.290,76 USDC.e aus einem anderen (0x95533) und 1.783,97 USDC.e aus einem dritten (0xe8926) abgezogen wurden, alles in einer eng orchestrierten Sequenz, die in einer einzigen Transaktion ausgeführt wurde.
Der Exploit beinhaltete nicht das Brechen von Kryptografie oder privaten Schlüsseln, sondern die Manipulation der Geschäftslogik, sodass das System „dachte“, der Angreifer sei berechtigt, Gelder abzuziehen.
Reaktionen und Maßnahmen von Huma Finance
Huma gab an, dass es bereits dabei war, seine V1 Liquiditätspools auf Polygon abzubauen, als der Exploit stattfand, und hat nun alle verbleibenden V1 Verträge vollständig pausiert, um weitere Risiken zu vermeiden. In seiner Offenlegung betonte das Team, dass Huma 2.0 – eine genehmigungsfreie, zusammensetzbare „Real-Yield“ PayFi-Plattform, die im April 2025 mit Unterstützung von Circle und der Solana Foundation auf Solana gestartet wird – „ein kompletter Neubau“ mit einer anderen Architektur ist und nicht mit dem anfälligen V1-Code verbunden ist.
Das Design von Huma 2.0 konzentriert sich auf den $PST (PayFi Strategy Token), einen liquiden, renditetragenden LP-Token, der Positionen in Zahlungsfinanzierungsstrategien repräsentiert und mit Solana DeFi-Protokollen wie Jupiter, Kamino und RateX integriert werden kann.
Schlussfolgerung
Für die Benutzer ist die wichtigste Erkenntnis, dass der Verlust von etwa 101.400 USDC die Liquidität auf Protokollebene getroffen hat und nicht individuelle Wallets, und dass aktuelle Einlagen und PST-Positionen auf Solana als sicher gemeldet werden. Dennoch fügt der Vorfall ein weiteres Beispiel zu einer langen Liste von DeFi-Exploits hinzu, bei denen der Schwachpunkt nicht in den Signaturschemata, sondern in der Geschäftslogik alter Verträge lag – was unterstreicht, warum Teams wie Huma zu neu gestalteten Architekturen migrieren und warum Benutzer „Legacy“- und „bald veraltete“ Pools mit der gleichen Vorsicht behandeln sollten, die sie für nicht geprüften Code aufbringen.
