{"id":15305,"date":"2026-05-11T20:02:19","date_gmt":"2026-05-11T20:02:19","guid":{"rendered":"https:\/\/satoshibrother.com\/de\/huma-finance-legacy-v1-vertrag-auf-polygon-fur-101-400-usdc-ausgenutzt\/"},"modified":"2026-05-11T20:02:19","modified_gmt":"2026-05-11T20:02:19","slug":"huma-finance-legacy-v1-vertrag-auf-polygon-fur-101-400-usdc-ausgenutzt","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/de\/huma-finance-legacy-v1-vertrag-auf-polygon-fur-101-400-usdc-ausgenutzt\/","title":{"rendered":"Huma Finance: Legacy V1 Vertrag auf Polygon f\u00fcr 101.400 USDC ausgenutzt"},"content":{"rendered":"

Vorfall bei Huma Finance<\/h2>\n

Ein Logikfehler<\/strong> in den Legacy V1 Kreditpools von Huma Finance auf Polygon erm\u00f6glichte es einem Angreifer, etwa 101.400 USDC<\/strong> abzuziehen. Die auf Solana basierende PayFi V2 und der PST-Token blieben dabei strukturell unber\u00fchrt.<\/p>\n

Details des Angriffs<\/h2>\n

Huma Finance gab bekannt, dass seine Legacy V1 Vertr\u00e4ge auf Polygon ausgenutzt wurden, wobei rund 101.400 USDC und USDC.e aus alten Liquidit\u00e4tspools abgezogen wurden, die sich bereits im Abwicklungsprozess befanden. Das Team betonte, dass keine Benutzer-Einlagen<\/strong> auf der aktuellen PayFi-Plattform gef\u00e4hrdet sind, dass Humas PST-Token nicht betroffen war und das neu gestaltete V2-System auf Solana strukturell von den betroffenen Vertr\u00e4gen getrennt ist.<\/p>\n

\n

Laut einem offiziellen Beitrag auf X wurden die „Huma Finance V1 BaseCreditPool-Implementierungen auf Polygon … f\u00fcr etwa 101.000 USDC ausgenutzt. Insgesamt abgezogen: etwa 101.400 USDC (USDC + USDC.e)“.<\/p>\n<\/blockquote>\n

Das Team best\u00e4tigte, dass der Vorfall auf veraltete Vertr\u00e4ge<\/strong> und nicht auf aktive Produktionsvaults beschr\u00e4nkt war. Ein detaillierter Bericht der Web3-Sicherheitsfirma Blockaid, zitiert von CryptoTimes, f\u00fchrt den Verlust auf einen Logikfehler in einer Funktion namens „refreshAccount“<\/em> innerhalb der V1 BaseCreditPool-Vertr\u00e4ge zur\u00fcck. Diese Funktion \u00e4nderte den Status eines Kontos f\u00e4lschlicherweise von „Angeforderte Kreditlinie“ auf „Guter Stand“, ohne ausreichende \u00dcberpr\u00fcfungen.<\/p>\n

Analyse des Exploits<\/h2>\n

Dieser Fehler erm\u00f6glichte es dem Angreifer, Zugangskontrollen zu umgehen und Gelder aus mit dem Tresor verbundenen Pools abzuheben, als ob er ein genehmigter Kreditnehmer w\u00e4re. Blockaids Analyse zeigt, dass etwa 82.315,57 USDC<\/strong> aus einem Vertrag (0x3EBc1), 17.290,76 USDC.e<\/strong> aus einem anderen (0x95533) und 1.783,97 USDC.e<\/strong> aus einem dritten (0xe8926) abgezogen wurden, alles in einer eng orchestrierten Sequenz, die in einer einzigen Transaktion ausgef\u00fchrt wurde.<\/p>\n

Der Exploit beinhaltete nicht das Brechen von Kryptografie oder privaten Schl\u00fcsseln, sondern die Manipulation der Gesch\u00e4ftslogik, sodass das System „dachte“, der Angreifer sei berechtigt, Gelder abzuziehen.<\/p>\n

Reaktionen und Ma\u00dfnahmen von Huma Finance<\/h2>\n

Huma gab an, dass es bereits dabei war, seine V1 Liquidit\u00e4tspools auf Polygon abzubauen, als der Exploit stattfand, und hat nun alle verbleibenden V1 Vertr\u00e4ge vollst\u00e4ndig pausiert, um weitere Risiken zu vermeiden. In seiner Offenlegung betonte das Team, dass Huma 2.0 \u2013 eine genehmigungsfreie, zusammensetzbare \u201eReal-Yield\u201c<\/em> PayFi-Plattform, die im April 2025 mit Unterst\u00fctzung von Circle und der Solana Foundation auf Solana gestartet wird \u2013 „ein kompletter Neubau“ mit einer anderen Architektur ist und nicht mit dem anf\u00e4lligen V1-Code verbunden ist.<\/p>\n

Das Design von Huma 2.0 konzentriert sich auf den $PST<\/strong> (PayFi Strategy Token), einen liquiden, renditetragenden LP-Token, der Positionen in Zahlungsfinanzierungsstrategien repr\u00e4sentiert und mit Solana DeFi-Protokollen wie Jupiter, Kamino und RateX integriert werden kann.<\/p>\n

Schlussfolgerung<\/h2>\n

F\u00fcr die Benutzer ist die wichtigste Erkenntnis, dass der Verlust von etwa 101.400 USDC<\/strong> die Liquidit\u00e4t auf Protokollebene getroffen hat und nicht individuelle Wallets, und dass aktuelle Einlagen und PST-Positionen auf Solana als sicher gemeldet werden. Dennoch f\u00fcgt der Vorfall ein weiteres Beispiel zu einer langen Liste von DeFi-Exploits hinzu, bei denen der Schwachpunkt nicht in den Signaturschemata, sondern in der Gesch\u00e4ftslogik alter Vertr\u00e4ge lag \u2013 was unterstreicht, warum Teams wie Huma zu neu gestalteten Architekturen migrieren und warum Benutzer „Legacy“- und „bald veraltete“ Pools mit der gleichen Vorsicht behandeln sollten, die sie f\u00fcr nicht gepr\u00fcften Code aufbringen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Vorfall bei Huma Finance Ein Logikfehler in den Legacy V1 Kreditpools von Huma Finance auf Polygon erm\u00f6glichte es einem Angreifer, etwa 101.400 USDC abzuziehen. Die auf Solana basierende PayFi V2 und der PST-Token blieben dabei strukturell unber\u00fchrt. Details des Angriffs Huma Finance gab bekannt, dass seine Legacy V1 Vertr\u00e4ge auf Polygon ausgenutzt wurden, wobei rund 101.400 USDC und USDC.e aus alten Liquidit\u00e4tspools abgezogen wurden, die sich bereits im Abwicklungsprozess befanden. Das Team betonte, dass keine Benutzer-Einlagen auf der aktuellen PayFi-Plattform gef\u00e4hrdet sind, dass Humas PST-Token nicht betroffen war und das neu gestaltete V2-System auf Solana strukturell von den betroffenen Vertr\u00e4gen<\/p>\n","protected":false},"author":3,"featured_media":15304,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8269,88,65,10196,8918,10195,4044,294,10197,115,77,221],"class_list":["post-15305","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-blockaid","tag-circle","tag-hack","tag-huma-finance","tag-jupiter","tag-kamino","tag-payfi","tag-polygon","tag-ratex","tag-solana","tag-usdc","tag-web3"],"yoast_description":"Der Legacy V1 Vertrag von Huma Finance auf Polygon wurde aufgrund eines Logikfehlers f\u00fcr 101.400 USDC ausgenutzt, jedoch bleiben neuere Plattformen sicher.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/15305","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=15305"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/15305\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/15304"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=15305"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=15305"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=15305"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}