Ipinahayag ng Huma Finance na exploited ang kanilang deprecated na V1 BaseCreditPool contracts sa Polygon para sa halos $101,000, kung saan dinrain ng attacker ang 82,316 USDC at 19,075 USDC.e sa pamamagitan ng hindi awtorisadong pag-draw. Ang insidente, na nangyari noong Mayo 11, ay nagmumula sa isang logic error sa credit-lifecycle management ng mga contract na dapat nang wala nang nasa gamit.
Wala nang epekto sa mga deposito ng mga user. Ang PayFi Strategy Token (PST) at ang V2 deployment ni Huma sa Solana ay patuloy na ganap na gumagana at hindi naabuso. Ang pinsala ay limitado lamang sa mga bayad ng pool owner at mga bayad ng protokolo.
Ano ang nangyari sa mga deprecated na contract
Ang pangunahing sanhi ay isang pagkakamali sa lohika ng buhay-cycle ng kredito. Ang mga lumang smart contract ay may kakulangan sa paraan nilang pinamamahalaan ang mga yugto ng isang credit line, lalo na sa kung sino ang maaaring mag-initiate ng drawdown at sa ilalim ng anong mga kondisyon. Ang puwang na ito ay nagbigay-daan sa isang tao na tarikin ang mga pondo na hindi dapat nila ma-access.
Ang mga eksperto sa seguridad na nag-analisa sa insidente ay nagkarakterisa ito bilang isang maiiwasang kakulangan sa pagkontrol ng pag-access kaysa isang bagong zero-day vulnerability.
Huma’s response at at broader context
Ibinigay ng Huma Finance ang exploit sa social media sa parehong araw nang mangyari ito. Mabilis na nagbigay ng malinaw na pagkakaiba ang protocol kung ano ang na-compromise at kung ano ang hindi. Mga deposito ng user: ligtas. Mga paghahawak ng PST: hindi naapektuhan. Ang Solana-based V2 system: gumagana nang normal. Mahalaga ang pagkakaiba na ito dahil recent na integrasyon ng Huma ang PST sa mga estratehiya ng pag-backing ng USD* noong Abril 30, halos dalawang linggo bago ang exploit.
Ang Huma Finance ay nagtatayo ng sarili bilang isang decentralized na PayFi protocol na nag-uugnay sa pagpapautang sa pagbabayad at sa on-chain infrastructure. Ang protocol ay nagmula noong 2025 at patuloy na nagbuo ng kanyang presensya na may partikular na pagtutok sa Solana bilang pangunahing operasyonal na chain mula ngayon. Ang mga V1 contract na batay sa Polygon ay naging mas lumang modelo, iniwan habang inaayos ng team ang sistema.
Hindi inireport ang anumang iba pang malalaking insidente o makabuluhang update mula sa Huma sa loob ng 30 araw bago ang exploit.
Ano ang ibig sabihin nito para sa mga investor at sa ecosystem ng DeFi
Ang punto ay ang mga deprecated na smart contract ay nagtataglay ng isang sistemikong bling spot sa buong DeFi. Ang mga protokolo ay nag-uupgrade, nagmigrate sa iba’t ibang chain, at naglalabas ng mga bersyon V2 at V3, ngunit ang mga lumang contract ay nananatili sa chain nang walang katapusan. Kung ang mga natitirang pondo ay hindi buong nalilipat at ang mga contract ay hindi pinapalakas o pinipigilan, sila ay naging mga layunin.
Ipinakita ng ekspertong pagsusuri na ito ay isang simpleng pagkakamali sa pagkontrol ng pag-access, ang uri ng vulnerability na makikita ng mas malalim mga pagsusuri. Ang karamihan sa mga kumpanya ng pagsusuri ay nakatuon sa mga bagong pag-deploy, hindi sa mga lumang nagkakaroon ng dust.
Walang makabuluhang epekto ang paglabag sa mas malawak na merkado ng DeFi. Ang arkitekturang V2 ay hiwalay sa mga compromised na kontrata ng V1, at walang ebidensya na nagpapakita ng mga pagkakasabwatan sa pagitan ng dalawa.