Incidente di Sicurezza nei Pool di Credito Legacy di Huma
Un bug logico nei pool di credito legacy V1 di Huma su Polygon ha consentito a un attaccante di drenare circa $101.400 in USDC. Tuttavia, il suo sistema PayFi V2, basato su Solana, e il token PST rimangono strutturalmente non influenzati.
Dettagli dell’Incidente
Huma Finance ha confermato che i contratti legacy V1 su Polygon sono stati sfruttati, con circa $101.400 in USDC e USDC.e drenati da vecchi pool di liquidità già in fase di dismissione. Il team ha sottolineato che nessun deposito degli utenti sulla sua attuale piattaforma PayFi è a rischio, e il token PST di Huma non ha subito impatti.
“Le implementazioni di Huma Finance del V1 BaseCreditPool su Polygon sono state sfruttate… per circa $101K. Totale drenato: circa $101.4K (USDC + USDC.e)”
Questo incidente è stato confinato a contratti deprecati e non a vault di produzione attivi. Un’analisi dettagliata della società di sicurezza Web3 Blockaid, citata da CryptoTimes, attribuisce la perdita a un difetto logico in una funzione chiamata refreshAccount all’interno dei contratti V1 BaseCreditPool, che cambiava erroneamente lo stato di un account da “Linea di credito richiesta” a “Buona posizione” senza controlli sufficienti.
Meccanismo dello Sfruttamento
Questo bug ha permesso all’attaccante di bypassare i controlli di accesso e prelevare fondi dai pool collegati al tesoro come se fosse un mutuatario approvato. L’analisi di Blockaid mostra che circa 82.315,57 USDC sono stati drenati da un contratto (0x3EBc1), 17.290,76 USDC.e da un altro (0x95533) e 1.783,97 USDC.e da un terzo (0xe8926), tutti in una sequenza strettamente orchestrata che si è eseguita in una singola transazione.
Lo sfruttamento non ha coinvolto la rottura della crittografia o delle chiavi private, ma piuttosto la manipolazione della logica aziendale, facendo sì che il sistema “pensasse” che l’attaccante fosse autorizzato a prelevare fondi.
Risposta di Huma Finance
Huma ha già iniziato a dismettere i suoi pool di liquidità V1 su Polygon quando è avvenuto lo sfruttamento e ha ora completamente sospeso tutti i contratti V1 rimanenti per prevenire ulteriori rischi. Nella sua comunicazione, il team ha enfatizzato che Huma 2.0 — una piattaforma PayFi “real-yield” senza permessi e composabile, lanciata su Solana nell’aprile 2025 con il supporto di Circle e della Solana Foundation — è “una ricostruzione completa” con un’architettura diversa e non è collegata al codice vulnerabile V1.
Il design di Huma 2.0 si concentra sul $PST (PayFi Strategy Token), un token LP liquido e generatore di rendimento che rappresenta posizioni in strategie di finanziamento dei pagamenti e può essere integrato con protocolli DeFi di Solana come Jupiter, Kamino e RateX.
Conclusioni
Per gli utenti, il punto chiave è che la perdita di circa $101.400 USDC ha colpito la liquidità a livello di protocollo legacy, piuttosto che i portafogli individuali, e che i depositi attuali e le posizioni PST su Solana sono segnalati come sicuri. Tuttavia, l’incidente aggiunge un altro esempio a una lunga lista di sfruttamenti DeFi in cui il punto debole non erano gli schemi di firma, ma la logica aziendale in contratti obsoleti, rafforzando il motivo per cui team come Huma stanno migrando verso architetture riprogettate e perché gli utenti dovrebbero trattare i pool “legacy” e “in procinto di essere deprecati” con la stessa cautela riservata a codice non auditato.
