{"id":15312,"date":"2026-05-11T20:02:19","date_gmt":"2026-05-11T20:02:19","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/explotacion-del-contrato-legado-v1-de-huma-finance-en-polygon-101400-usdc-drenados\/"},"modified":"2026-05-11T20:02:19","modified_gmt":"2026-05-11T20:02:19","slug":"explotacion-del-contrato-legado-v1-de-huma-finance-en-polygon-101400-usdc-drenados","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/explotacion-del-contrato-legado-v1-de-huma-finance-en-polygon-101400-usdc-drenados\/","title":{"rendered":"Explotaci\u00f3n del contrato legado V1 de Huma Finance en Polygon: $101,400 USDC drenados"},"content":{"rendered":"

Incidente de Seguridad en Huma Finance<\/h2>\n

Un error l\u00f3gico<\/strong> en los pools de cr\u00e9dito V1 de Huma Finance en Polygon permiti\u00f3 a un atacante drenar aproximadamente $101,400 en USDC<\/strong>. Sin embargo, su plataforma PayFi V2<\/em>, basada en Solana, y el token PST<\/strong> permanecen estructuralmente intactos.<\/p>\n

Detalles del Ataque<\/h2>\n

Huma Finance ha confirmado que sus contratos legado V1 en Polygon fueron explotados, resultando en el drenaje de aproximadamente $101,400 en USDC<\/strong> y USDC.e<\/strong> de antiguos pools de liquidez que ya estaban en proceso de desmantelamiento. El equipo enfatiz\u00f3 que ning\u00fan dep\u00f3sito de usuario<\/strong> en su plataforma actual de PayFi est\u00e1 en riesgo, el token PST de Huma no se vio afectado y su sistema reestructurado V2 en Solana est\u00e1 estructuralmente separado de los contratos comprometidos.<\/p>\n

\u00abLas implementaciones de Huma Finance en V1 BaseCreditPool en Polygon fueron explotadas… por aproximadamente $101K. Total drenado: ~$101.4K (USDC + USDC.e)\u00bb<\/p><\/blockquote>\n

Este incidente se limit\u00f3 a contratos obsoletos y no a b\u00f3vedas de producci\u00f3n activas. Un an\u00e1lisis detallado de la firma de seguridad Web3 Blockaid, citado por CryptoTimes, atribuye la p\u00e9rdida a un error l\u00f3gico<\/strong> en una funci\u00f3n llamada refreshAccount<\/strong> dentro de los contratos V1 BaseCreditPool, que cambi\u00f3 incorrectamente el estado de una cuenta de \u00abL\u00ednea de cr\u00e9dito solicitada\u00bb a \u00abBuena posici\u00f3n\u00bb sin las verificaciones adecuadas.<\/p>\n

Impacto del Ataque<\/h2>\n

Este error permiti\u00f3 al atacante eludir los controles de acceso y retirar fondos de pools vinculados al tesoro como si fuera un prestatario aprobado. El an\u00e1lisis de Blockaid muestra que aproximadamente:<\/p>\n

    \n
  • 82,315.57 USDC<\/strong> fueron drenados de un contrato (0x3EBc1)<\/li>\n
  • 17,290.76 USDC.e<\/strong> de otro (0x95533)<\/li>\n
  • 1,783.97 USDC.e<\/strong> de un tercero (0xe8926)<\/li>\n<\/ul>\n

    Todo esto en una secuencia cuidadosamente orquestada que se ejecut\u00f3 en una sola transacci\u00f3n. La explotaci\u00f3n no involucr\u00f3 romper la criptograf\u00eda o claves privadas, sino manipular la l\u00f3gica empresarial para que el sistema \u00abpensara\u00bb que el atacante estaba autorizado a retirar fondos.<\/p>\n

    Medidas Tomadas por Huma Finance<\/h2>\n

    Huma Finance hab\u00eda estado eliminando sus pools de liquidez V1 en Polygon cuando ocurri\u00f3 la explotaci\u00f3n, y ahora ha pausado completamente todos los contratos V1 restantes para prevenir cualquier riesgo adicional. En su divulgaci\u00f3n, el equipo enfatiz\u00f3 que Huma 2.0<\/strong> \u2014una plataforma de PayFi \u00abde rendimiento real\u00bb sin permisos y composable que se lanz\u00f3 en Solana en abril de 2025 con el apoyo de Circle y la Fundaci\u00f3n Solana\u2014 es \u00abuna reconstrucci\u00f3n completa\u00bb con una arquitectura diferente y no est\u00e1 conectada al c\u00f3digo V1 vulnerable.<\/p>\n

    El dise\u00f1o de Huma 2.0 se centra en el $PST<\/strong> (PayFi Strategy Token), un token LP l\u00edquido y generador de rendimiento que representa posiciones en estrategias de financiamiento de pagos y puede integrarse con protocolos DeFi de Solana como Jupiter, Kamino y RateX. En contraste, los contratos V1 explotados eran parte de un sistema de pools de cr\u00e9dito m\u00e1s antiguo y con permisos en Polygon, ahora efectivamente retirado.<\/p>\n

    Conclusi\u00f3n<\/h2>\n

    Para los usuarios, la conclusi\u00f3n clave es que la p\u00e9rdida de aproximadamente $101,400 USDC<\/strong> afect\u00f3 la liquidez a nivel de protocolo legado en lugar de billeteras individuales, y que los dep\u00f3sitos actuales y las posiciones de PST en Solana se informan como seguras. A\u00fan as\u00ed, el incidente a\u00f1ade otro ejemplo a una larga lista de explotaciones en DeFi donde el punto d\u00e9bil no eran los esquemas de firma, sino la l\u00f3gica empresarial en contratos envejecidos, lo que refuerza la necesidad de que equipos como Huma migren a arquitecturas redise\u00f1adas y que los usuarios traten los pools \u00ablegados\u00bb y \u00abpr\u00f3ximamente obsoletos\u00bb con la misma precauci\u00f3n que reservan para el c\u00f3digo no auditado.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Incidente de Seguridad en Huma Finance Un error l\u00f3gico en los pools de cr\u00e9dito V1 de Huma Finance en Polygon permiti\u00f3 a un atacante drenar aproximadamente $101,400 en USDC. Sin embargo, su plataforma PayFi V2, basada en Solana, y el token PST permanecen estructuralmente intactos. Detalles del Ataque Huma Finance ha confirmado que sus contratos legado V1 en Polygon fueron explotados, resultando en el drenaje de aproximadamente $101,400 en USDC y USDC.e de antiguos pools de liquidez que ya estaban en proceso de desmantelamiento. El equipo enfatiz\u00f3 que ning\u00fan dep\u00f3sito de usuario en su plataforma actual de PayFi est\u00e1 en<\/p>\n","protected":false},"author":3,"featured_media":15311,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8269,88,65,10197,8919,10196,4044,294,10198,115,77,221],"class_list":["post-15312","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-blockaid","tag-circle","tag-hack","tag-huma-finance","tag-jupiter","tag-kamino","tag-payfi","tag-polygon","tag-ratex","tag-solana","tag-usdc","tag-web3"],"yoast_description":"El contrato legado V1 de Huma Finance en Polygon fue explotado por $101,400 USDC debido a un error l\u00f3gico, pero las plataformas m\u00e1s nuevas permanecen seguras.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/15312","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=15312"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/15312\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/15311"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=15312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=15312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=15312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}