Incident de sécurité chez Huma Finance
Un bug logique dans les pools de crédit V1 hérités de Huma sur Polygon a permis à un attaquant de siphonner environ 101 400 USDC. Cependant, sa plateforme PayFi V2, basée sur Solana, ainsi que le token PST, restent structurellement non affectés.
Huma Finance a confirmé que ses contrats hérités V1 sur Polygon avaient été exploités, entraînant le drainage d’environ 101 400 USDC et USDC.e des anciens pools de liquidité déjà en cours de liquidation. L’équipe a souligné qu’aucun dépôt d’utilisateur sur sa plateforme PayFi actuelle n’est en danger, que le token PST de Huma n’a pas été impacté, et que son système V2, réarchitecturé sur Solana, est structurellement séparé des contrats affectés.
Dans un post officiel sur X, l’équipe a déclaré : « Les déploiements de BaseCreditPool V1 de Huma Finance sur Polygon ont été exploités… pour environ 101K. Total drainé : environ 101,4K (USDC + USDC.e) ».
Ils ont confirmé que l’incident était confiné à des contrats obsolètes plutôt qu’à des coffres de production actifs. Un rapport détaillé de la société de sécurité Web3 Blockaid, cité par CryptoTimes, attribue la perte à un défaut logique dans une fonction appelée refreshAccount à l’intérieur des contrats V1 BaseCreditPool. Cette fonction a incorrectement changé le statut d’un compte de « Ligne de crédit demandée » à « Bon statut » sans vérifications suffisantes, permettant ainsi à l’attaquant de contourner les contrôles d’accès et de retirer des fonds des pools liés au trésor comme s’il était un emprunteur approuvé.
L’analyse de Blockaid montre qu’environ 82 315,57 USDC ont été drainés d’un contrat (0x3EBc1), 17 290,76 USDC.e d’un autre (0x95533), et 1 783,97 USDC.e d’un troisième (0xe8926), le tout dans une séquence soigneusement orchestrée exécutée en une seule transaction. L’exploitation n’a pas impliqué de rupture de cryptographie ou de clés privées, mais plutôt la manipulation de la logique commerciale pour que le système « pense » que l’attaquant était autorisé à retirer des fonds.
Huma indique qu’elle était déjà en train de retirer ses pools de liquidité V1 sur Polygon lorsque l’exploitation a eu lieu et a maintenant complètement suspendu tous les contrats V1 restants pour éviter tout risque supplémentaire. Dans sa divulgation, l’équipe a souligné que Huma 2.0 — une plateforme PayFi « réelle » sans autorisation et composable, lancée sur Solana en avril 2025 avec le soutien de Circle et de la Solana Foundation — est « une reconstruction complète » avec une architecture différente et n’est pas connectée au code V1 vulnérable.
Le design de Huma 2.0 se concentre sur le $PST (PayFi Strategy Token), un token LP liquide et générateur de rendement qui représente des positions dans des stratégies de financement de paiement et peut être intégré avec des protocoles DeFi sur Solana tels que Jupiter, Kamino et RateX. En revanche, les contrats V1 exploités faisaient partie d’un ancien système de pools de crédit autorisés sur Polygon, désormais effectivement retiré.
Pour les utilisateurs, le point clé à retenir est que la perte d’environ 101 400 USDC a touché la liquidité au niveau du protocole hérité plutôt que les portefeuilles individuels, et que les dépôts actuels et les positions PST sur Solana sont signalés comme sûrs. Néanmoins, cet incident ajoute un autre exemple à une longue liste d’exploits DeFi où le point faible n’était pas les schémas de signature, mais la logique commerciale dans des contrats vieillissants. Cela renforce l’importance pour des équipes comme Huma de migrer vers des architectures redessinées, et souligne pourquoi les utilisateurs devraient traiter les pools « hérités » et « bientôt obsolètes » avec la même prudence qu’ils réservent pour le code non audité.
