Инцидент с Huma Finance
Логическая ошибка в кредитных пулах Huma Finance legacy V1 на Polygon позволила злоумышленнику вывести около $101,400 в USDC. Однако платформа PayFi V2 на базе Solana и токен PST остались структурно неизменными.
Подробности инцидента
Huma Finance сообщила, что ее контракты legacy V1 на Polygon были эксплуатированы, в результате чего было выведено примерно $101,400 в USDC и USDC.e из старых ликвидных пулов, которые уже находились в процессе закрытия. Команда подчеркнула, что депозиты пользователей на текущей платформе PayFi не подвержены риску, токен PST Huma не пострадал, а переработанная система V2 на Solana структурно отделена от затронутых контрактов.
Согласно официальному сообщению в X, «Развертывания Huma Finance V1 BaseCreditPool на Polygon были эксплуатированы на сумму ~$101K. Всего выведено: ~$101.4K (USDC + USDC.e)».
Команда подтвердила, что инцидент был ограничен устаревшими контрактами, а не действующими производственными хранилищами. Подробный отчет компании по безопасности Web3 Blockaid, на который ссылается CryptoTimes, связывает убытки с логическим сбоем в функции refreshAccount внутри контрактов V1 BaseCreditPool, которая неверно меняла статус аккаунта с «Запрошенная кредитная линия» на «Хорошее состояние» без достаточных проверок. Эта ошибка позволила злоумышленнику обойти контроль доступа и вывести средства из пулов, связанных с казной, как если бы он был одобренным заемщиком.
Анализ и последствия
Анализ Blockaid показывает, что около 82,315.57 USDC было выведено из одного контракта (0x3EBc1), 17,290.76 USDC.e из другого (0x95533) и 1,783.97 USDC.e из третьего (0xe8926), все в строго организованной последовательности, выполненной в одной транзакции. Эксплуатация не включала взлом криптографии или приватных ключей, а скорее манипулирование бизнес-логикой, чтобы система «думала», что злоумышленник имеет право выводить средства.
Huma сообщает, что она уже начала сворачивать свои ликвидные пулы V1 на Polygon, когда произошла эксплуатация, и теперь полностью приостановила все оставшиеся контракты V1, чтобы предотвратить дальнейшие риски.
Переход на Huma 2.0
В своем раскрытии команда подчеркнула, что Huma 2.0 — это платформа PayFi с разрешением, компонуемая «реальным доходом», которая была запущена на Solana в апреле 2025 года с поддержкой от Circle и Solana Foundation. Это «полная переработка» с другой архитектурой и не связана с уязвимым кодом V1.
Дизайн Huma 2.0 сосредоточен на $PST (PayFi Strategy Token), ликвидном, приносящем доход LP токене, который представляет позиции в стратегиях финансирования платежей и может быть интегрирован с DeFi-протоколами Solana, такими как Jupiter, Kamino и RateX. В отличие от этого, эксплуатируемые контракты V1 были частью старой системы кредитных пулов с разрешением на Polygon, которая теперь фактически выведена из эксплуатации.
Ключевые выводы для пользователей
Для пользователей ключевым выводом является то, что убыток в размере примерно $101,400 USDC затронул ликвидность на уровне протокола, а не отдельные кошельки, и что текущие депозиты и позиции PST на Solana считаются безопасными. Тем не менее, инцидент добавляет еще один пример в длинный список эксплойтов DeFi, где слабым местом была не схема подписи, а бизнес-логика в устаревших контрактах. Это подчеркивает, почему такие команды, как Huma, переходят на переработанные архитектуры и почему пользователи должны относиться к «наследственным» и «скоро устаревшим» пулам с той же осторожностью, которую они проявляют к непроверенному коду.
