Un bug logique<\/strong> dans les pools de cr\u00e9dit V1 h\u00e9rit\u00e9s de Huma sur Polygon a permis \u00e0 un attaquant de siphonner environ 101 400 USDC<\/strong>. Cependant, sa plateforme PayFi V2<\/strong>, bas\u00e9e sur Solana, ainsi que le token PST<\/strong>, restent structurellement non affect\u00e9s.<\/p>\n Huma Finance a confirm\u00e9 que ses contrats h\u00e9rit\u00e9s V1 sur Polygon avaient \u00e9t\u00e9 exploit\u00e9s, entra\u00eenant le drainage d’environ 101 400 USDC<\/strong> et USDC.e<\/strong> des anciens pools de liquidit\u00e9 d\u00e9j\u00e0 en cours de liquidation. L’\u00e9quipe a soulign\u00e9 qu’aucun d\u00e9p\u00f4t d’utilisateur sur sa plateforme PayFi actuelle n’est en danger, que le token PST de Huma n’a pas \u00e9t\u00e9 impact\u00e9, et que son syst\u00e8me V2, r\u00e9architectur\u00e9 sur Solana, est structurellement s\u00e9par\u00e9 des contrats affect\u00e9s.<\/p>\n Dans un post officiel sur X, l’\u00e9quipe a d\u00e9clar\u00e9 : \u00ab\u00a0Les d\u00e9ploiements de BaseCreditPool V1 de Huma Finance sur Polygon ont \u00e9t\u00e9 exploit\u00e9s… pour environ 101K. Total drain\u00e9 : environ 101,4K (USDC + USDC.e)\u00a0\u00bb.<\/p>\n<\/blockquote>\n Ils ont confirm\u00e9 que l’incident \u00e9tait confin\u00e9 \u00e0 des contrats obsol\u00e8tes plut\u00f4t qu’\u00e0 des coffres de production actifs. Un rapport d\u00e9taill\u00e9 de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Web3 Blockaid<\/strong>, cit\u00e9 par CryptoTimes, attribue la perte \u00e0 un d\u00e9faut logique<\/strong> dans une fonction appel\u00e9e refreshAccount<\/em> \u00e0 l’int\u00e9rieur des contrats V1 BaseCreditPool. Cette fonction a incorrectement chang\u00e9 le statut d’un compte de \u00ab\u00a0Ligne de cr\u00e9dit demand\u00e9e\u00a0\u00bb \u00e0 \u00ab\u00a0Bon statut\u00a0\u00bb sans v\u00e9rifications suffisantes, permettant ainsi \u00e0 l’attaquant de contourner les contr\u00f4les d’acc\u00e8s et de retirer des fonds des pools li\u00e9s au tr\u00e9sor comme s’il \u00e9tait un emprunteur approuv\u00e9.<\/p>\n L’analyse de Blockaid montre qu’environ 82 315,57 USDC<\/strong> ont \u00e9t\u00e9 drain\u00e9s d’un contrat (0x3EBc1), 17 290,76 USDC.e<\/strong> d’un autre (0x95533), et 1 783,97 USDC.e<\/strong> d’un troisi\u00e8me (0xe8926), le tout dans une s\u00e9quence soigneusement orchestr\u00e9e ex\u00e9cut\u00e9e en une seule transaction. L’exploitation n’a pas impliqu\u00e9 de rupture de cryptographie ou de cl\u00e9s priv\u00e9es, mais plut\u00f4t la manipulation de la logique commerciale pour que le syst\u00e8me \u00ab\u00a0pense\u00a0\u00bb que l’attaquant \u00e9tait autoris\u00e9 \u00e0 retirer des fonds.<\/p>\n Huma indique qu’elle \u00e9tait d\u00e9j\u00e0 en train de retirer ses pools de liquidit\u00e9 V1 sur Polygon lorsque l’exploitation a eu lieu et a maintenant compl\u00e8tement suspendu tous les contrats V1 restants pour \u00e9viter tout risque suppl\u00e9mentaire. Dans sa divulgation, l’\u00e9quipe a soulign\u00e9 que Huma 2.0<\/strong> \u2014 une plateforme PayFi \u00ab\u00a0r\u00e9elle\u00a0\u00bb sans autorisation et composable, lanc\u00e9e sur Solana en avril 2025 avec le soutien de Circle et de la Solana Foundation \u2014 est \u00ab\u00a0une reconstruction compl\u00e8te\u00a0\u00bb avec une architecture diff\u00e9rente et n’est pas connect\u00e9e au code V1 vuln\u00e9rable.<\/p>\n Le design de Huma 2.0 se concentre sur le $PST<\/strong> (PayFi Strategy Token), un token LP liquide et g\u00e9n\u00e9rateur de rendement qui repr\u00e9sente des positions dans des strat\u00e9gies de financement de paiement et peut \u00eatre int\u00e9gr\u00e9 avec des protocoles DeFi sur Solana tels que Jupiter, Kamino et RateX. En revanche, les contrats V1 exploit\u00e9s faisaient partie d’un ancien syst\u00e8me de pools de cr\u00e9dit autoris\u00e9s sur Polygon, d\u00e9sormais effectivement retir\u00e9.<\/p>\n Pour les utilisateurs, le point cl\u00e9 \u00e0 retenir est que la perte d’environ 101 400 USDC<\/strong> a touch\u00e9 la liquidit\u00e9 au niveau du protocole h\u00e9rit\u00e9 plut\u00f4t que les portefeuilles individuels, et que les d\u00e9p\u00f4ts actuels et les positions PST sur Solana sont signal\u00e9s comme s\u00fbrs. N\u00e9anmoins, cet incident ajoute un autre exemple \u00e0 une longue liste d’exploits DeFi o\u00f9 le point faible n’\u00e9tait pas les sch\u00e9mas de signature, mais la logique commerciale dans des contrats vieillissants. Cela renforce l’importance pour des \u00e9quipes comme Huma de migrer vers des architectures redessin\u00e9es, et souligne pourquoi les utilisateurs devraient traiter les pools \u00ab\u00a0h\u00e9rit\u00e9s\u00a0\u00bb et \u00ab\u00a0bient\u00f4t obsol\u00e8tes\u00a0\u00bb avec la m\u00eame prudence qu’ils r\u00e9servent pour le code non audit\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":" Incident de s\u00e9curit\u00e9 chez Huma Finance Un bug logique dans les pools de cr\u00e9dit V1 h\u00e9rit\u00e9s de Huma sur Polygon a permis \u00e0 un attaquant de siphonner environ 101 400 USDC. Cependant, sa plateforme PayFi V2, bas\u00e9e sur Solana, ainsi que le token PST, restent structurellement non affect\u00e9s. Huma Finance a confirm\u00e9 que ses contrats h\u00e9rit\u00e9s V1 sur Polygon avaient \u00e9t\u00e9 exploit\u00e9s, entra\u00eenant le drainage d’environ 101 400 USDC et USDC.e des anciens pools de liquidit\u00e9 d\u00e9j\u00e0 en cours de liquidation. L’\u00e9quipe a soulign\u00e9 qu’aucun d\u00e9p\u00f4t d’utilisateur sur sa plateforme PayFi actuelle n’est en danger, que le token PST de<\/p>\n","protected":false},"author":3,"featured_media":15307,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8269,88,65,10195,8918,10194,4044,294,10196,115,77,221],"class_list":["post-15308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-blockaid","tag-circle","tag-hack","tag-huma-finance","tag-jupiter","tag-kamino","tag-payfi","tag-polygon","tag-ratex","tag-solana","tag-usdc","tag-web3"],"yoast_description":"Le contrat h\u00e9rit\u00e9 V1 de Huma Finance sur Polygon a \u00e9t\u00e9 exploit\u00e9 pour 101 400 USDC en raison d'un bug logique. Cependant, les nouvelles plateformes restent s\u00e9curis\u00e9es.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=15308"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15308\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/15307"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=15308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=15308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=15308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n