Incidente de Seguridad en Huma Finance
Un error lógico en los pools de crédito V1 de Huma Finance en Polygon permitió a un atacante drenar aproximadamente $101,400 en USDC. Sin embargo, su plataforma PayFi V2, basada en Solana, y el token PST permanecen estructuralmente intactos.
Detalles del Ataque
Huma Finance ha confirmado que sus contratos legado V1 en Polygon fueron explotados, resultando en el drenaje de aproximadamente $101,400 en USDC y USDC.e de antiguos pools de liquidez que ya estaban en proceso de desmantelamiento. El equipo enfatizó que ningún depósito de usuario en su plataforma actual de PayFi está en riesgo, el token PST de Huma no se vio afectado y su sistema reestructurado V2 en Solana está estructuralmente separado de los contratos comprometidos.
«Las implementaciones de Huma Finance en V1 BaseCreditPool en Polygon fueron explotadas… por aproximadamente $101K. Total drenado: ~$101.4K (USDC + USDC.e)»
Este incidente se limitó a contratos obsoletos y no a bóvedas de producción activas. Un análisis detallado de la firma de seguridad Web3 Blockaid, citado por CryptoTimes, atribuye la pérdida a un error lógico en una función llamada refreshAccount dentro de los contratos V1 BaseCreditPool, que cambió incorrectamente el estado de una cuenta de «Línea de crédito solicitada» a «Buena posición» sin las verificaciones adecuadas.
Impacto del Ataque
Este error permitió al atacante eludir los controles de acceso y retirar fondos de pools vinculados al tesoro como si fuera un prestatario aprobado. El análisis de Blockaid muestra que aproximadamente:
- 82,315.57 USDC fueron drenados de un contrato (0x3EBc1)
- 17,290.76 USDC.e de otro (0x95533)
- 1,783.97 USDC.e de un tercero (0xe8926)
Todo esto en una secuencia cuidadosamente orquestada que se ejecutó en una sola transacción. La explotación no involucró romper la criptografía o claves privadas, sino manipular la lógica empresarial para que el sistema «pensara» que el atacante estaba autorizado a retirar fondos.
Medidas Tomadas por Huma Finance
Huma Finance había estado eliminando sus pools de liquidez V1 en Polygon cuando ocurrió la explotación, y ahora ha pausado completamente todos los contratos V1 restantes para prevenir cualquier riesgo adicional. En su divulgación, el equipo enfatizó que Huma 2.0 —una plataforma de PayFi «de rendimiento real» sin permisos y composable que se lanzó en Solana en abril de 2025 con el apoyo de Circle y la Fundación Solana— es «una reconstrucción completa» con una arquitectura diferente y no está conectada al código V1 vulnerable.
El diseño de Huma 2.0 se centra en el $PST (PayFi Strategy Token), un token LP líquido y generador de rendimiento que representa posiciones en estrategias de financiamiento de pagos y puede integrarse con protocolos DeFi de Solana como Jupiter, Kamino y RateX. En contraste, los contratos V1 explotados eran parte de un sistema de pools de crédito más antiguo y con permisos en Polygon, ahora efectivamente retirado.
Conclusión
Para los usuarios, la conclusión clave es que la pérdida de aproximadamente $101,400 USDC afectó la liquidez a nivel de protocolo legado en lugar de billeteras individuales, y que los depósitos actuales y las posiciones de PST en Solana se informan como seguras. Aún así, el incidente añade otro ejemplo a una larga lista de explotaciones en DeFi donde el punto débil no eran los esquemas de firma, sino la lógica empresarial en contratos envejecidos, lo que refuerza la necesidad de que equipos como Huma migren a arquitecturas rediseñadas y que los usuarios traten los pools «legados» y «próximamente obsoletos» con la misma precaución que reservan para el código no auditado.
