{"id":15311,"date":"2026-05-11T20:02:19","date_gmt":"2026-05-11T20:02:19","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/sfruttamento-del-contratto-legacy-v1-di-huma-finance-su-polygon-101-400-usdc-compromessi\/"},"modified":"2026-05-11T20:02:19","modified_gmt":"2026-05-11T20:02:19","slug":"sfruttamento-del-contratto-legacy-v1-di-huma-finance-su-polygon-101-400-usdc-compromessi","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/sfruttamento-del-contratto-legacy-v1-di-huma-finance-su-polygon-101-400-usdc-compromessi\/","title":{"rendered":"Sfruttamento del contratto legacy V1 di Huma Finance su Polygon: $101.400 USDC compromessi"},"content":{"rendered":"

Incidente di Sicurezza nei Pool di Credito Legacy di Huma<\/h2>\n

Un bug logico<\/strong> nei pool di credito legacy V1 di Huma su Polygon ha consentito a un attaccante di drenare circa $101.400 in USDC<\/strong>. Tuttavia, il suo sistema PayFi V2<\/strong>, basato su Solana, e il token PST<\/strong> rimangono strutturalmente non influenzati.<\/p>\n

Dettagli dell’Incidente<\/h2>\n

Huma Finance ha confermato che i contratti legacy V1 su Polygon sono stati sfruttati, con circa $101.400<\/strong> in USDC e USDC.e drenati da vecchi pool di liquidit\u00e0 gi\u00e0 in fase di dismissione. Il team ha sottolineato che nessun deposito degli utenti<\/strong> sulla sua attuale piattaforma PayFi \u00e8 a rischio, e il token PST di Huma non ha subito impatti.<\/p>\n

\n

“Le implementazioni di Huma Finance del V1 BaseCreditPool su Polygon sono state sfruttate… per circa $101K. Totale drenato: circa $101.4K (USDC + USDC.e)”<\/p>\n<\/blockquote>\n

Questo incidente \u00e8 stato confinato a contratti deprecati e non a vault di produzione attivi. Un’analisi dettagliata della societ\u00e0 di sicurezza Web3 Blockaid<\/strong>, citata da CryptoTimes, attribuisce la perdita a un difetto logico in una funzione chiamata refreshAccount<\/em> all’interno dei contratti V1 BaseCreditPool, che cambiava erroneamente lo stato di un account da “Linea di credito richiesta” a “Buona posizione” senza controlli sufficienti.<\/p>\n

Meccanismo dello Sfruttamento<\/h2>\n

Questo bug ha permesso all’attaccante di bypassare i controlli di accesso e prelevare fondi dai pool collegati al tesoro come se fosse un mutuatario approvato. L’analisi di Blockaid mostra che circa 82.315,57 USDC<\/strong> sono stati drenati da un contratto (0x3EBc1), 17.290,76 USDC.e<\/strong> da un altro (0x95533) e 1.783,97 USDC.e<\/strong> da un terzo (0xe8926), tutti in una sequenza strettamente orchestrata che si \u00e8 eseguita in una singola transazione.<\/p>\n

Lo sfruttamento non ha coinvolto la rottura della crittografia o delle chiavi private, ma piuttosto la manipolazione della logica aziendale<\/strong>, facendo s\u00ec che il sistema “pensasse” che l’attaccante fosse autorizzato a prelevare fondi.<\/p>\n

Risposta di Huma Finance<\/h2>\n

Huma ha gi\u00e0 iniziato a dismettere i suoi pool di liquidit\u00e0 V1 su Polygon quando \u00e8 avvenuto lo sfruttamento e ha ora completamente sospeso tutti i contratti V1 rimanenti per prevenire ulteriori rischi. Nella sua comunicazione, il team ha enfatizzato che Huma 2.0<\/strong> \u2014 una piattaforma PayFi “real-yield” senza permessi e composabile, lanciata su Solana nell’aprile 2025 con il supporto di Circle e della Solana Foundation \u2014 \u00e8 “una ricostruzione completa” con un’architettura diversa e non \u00e8 collegata al codice vulnerabile V1.<\/p>\n

Il design di Huma 2.0 si concentra sul $PST<\/strong> (PayFi Strategy Token), un token LP liquido e generatore di rendimento che rappresenta posizioni in strategie di finanziamento dei pagamenti e pu\u00f2 essere integrato con protocolli DeFi di Solana come Jupiter, Kamino e RateX.<\/p>\n

Conclusioni<\/h2>\n

Per gli utenti, il punto chiave \u00e8 che la perdita di circa $101.400 USDC<\/strong> ha colpito la liquidit\u00e0 a livello di protocollo legacy, piuttosto che i portafogli individuali, e che i depositi attuali e le posizioni PST su Solana sono segnalati come sicuri. Tuttavia, l’incidente aggiunge un altro esempio a una lunga lista di sfruttamenti DeFi in cui il punto debole non erano gli schemi di firma, ma la logica aziendale in contratti obsoleti, rafforzando il motivo per cui team come Huma stanno migrando verso architetture riprogettate e perch\u00e9 gli utenti dovrebbero trattare i pool “legacy” e “in procinto di essere deprecati” con la stessa cautela riservata a codice non auditato.<\/p>\n","protected":false},"excerpt":{"rendered":"

Incidente di Sicurezza nei Pool di Credito Legacy di Huma Un bug logico nei pool di credito legacy V1 di Huma su Polygon ha consentito a un attaccante di drenare circa $101.400 in USDC. Tuttavia, il suo sistema PayFi V2, basato su Solana, e il token PST rimangono strutturalmente non influenzati. Dettagli dell’Incidente Huma Finance ha confermato che i contratti legacy V1 su Polygon sono stati sfruttati, con circa $101.400 in USDC e USDC.e drenati da vecchi pool di liquidit\u00e0 gi\u00e0 in fase di dismissione. Il team ha sottolineato che nessun deposito degli utenti sulla sua attuale piattaforma PayFi \u00e8<\/p>\n","protected":false},"author":3,"featured_media":15310,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8269,88,65,10196,8918,10195,4044,294,10197,115,77,221],"class_list":["post-15311","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-blockaid","tag-circle","tag-hack","tag-huma-finance","tag-jupiter","tag-kamino","tag-payfi","tag-polygon","tag-ratex","tag-solana","tag-usdc","tag-web3"],"yoast_description":"Il contratto legacy V1 di Huma Finance su Polygon \u00e8 stato sfruttato per $101.400 USDC a causa di un bug logico, ma le piattaforme pi\u00f9 recenti rimangono sicure.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/15311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=15311"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/15311\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/15310"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=15311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=15311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=15311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}