Huma Finance reveló que sus contratos obsoletos V1 BaseCreditPool en Polygon fueron explotados por aproximadamente $101,000, con un atacante vaciando 82.316 USDC y 19.075 USDC.e mediante retiros no autorizados. El incidente, que ocurrió el 11 de mayo, se remonta a un error lógico en la gestión del ciclo de vida del crédito en contratos que ya se suponía que estaban fuera de servicio.
No se afectaron los depósitos de los usuarios. El Token de Estrategia PayFi (PST) y la implementación V2 de Huma en Solana siguen operativos y sin tocar. El daño se limitó a las tarifas de los propietarios de la piscina y las tarifas del protocolo.
¿Qué salió mal en los contratos obsoletos?
La causa raíz fue un error lógico en el ciclo de crédito. Los contratos inteligentes antiguos tenían una falla en cómo gestionaban las etapas de una línea de crédito, específicamente en torno a quién podía iniciar retiros y bajo qué condiciones. Esa brecha permitió que alguien retirara fondos a los que nunca debería haber tenido acceso.
Los expertos en seguridad que analizaron el incidente lo caracterizaron como una falla evitable de control de acceso, y no como una vulnerabilidad cero-day novedosa.
La respuesta de Huma y el contexto general
Huma Finance anunció el exploit en redes sociales el mismo día en que ocurrió. El protocolo actuó rápidamente para establecer una clara distinción entre lo comprometido y lo no afectado. Depósitos de usuarios: seguros. Tenencias de PST: sin afectar. El sistema V2 basado en Solana: operando normalmente. Esta distinción es importante porque Huma había integrado recientemente PST en las estrategias de respaldo de USD* el 30 de abril, apenas dos semanas antes del exploit.
Huma Finance se posiciona como un protocolo descentralizado de PayFi, conectando el financiamiento de pagos con infraestructura en cadena. El protocolo se originó en 2025 y ha estado desarrollando su presencia con un enfoque particular en Solana como su cadena operativa principal a partir de ahora. Los contratos V1 basados en Polygon eran esencialmente el modelo anterior, dejado atrás mientras el equipo realizaba actualizaciones.
No se reportaron otros incidentes importantes ni actualizaciones notables de Huma en los 30 días anteriores al exploit.
Lo que esto significa para los inversores y el ecosistema DeFi
El punto es que los contratos inteligentes obsoletos representan un punto ciego sistémico en DeFi. Los protocolos actualizan, migran cadenas, lanzan iteraciones V2 y V3, pero los contratos antiguos persisten en la cadena indefinidamente. Si los fondos residuales no se drenan completamente y los contratos no se fortalecen o pausan, se convierten en objetivos.
El análisis experto indicó que se trataba de una falla sencilla de control de acceso, el tipo de vulnerabilidad que las auditorías más profundas detectarían. La mayoría de las firmas de auditoría centran su atención en nuevas implementaciones, no en las antiguas que acumulan polvo.
El mercado DeFi en general no mostró efectos significativos derivados del exploit. La arquitectura V2 es independiente de los contratos V1 comprometidos, y no hay evidencia que sugiera vulnerabilidades compartidas entre ambos.