Huma Finance a révélé que ses contrats V1 BaseCreditPool sur Polygon, désormais obsolètes, ont été exploités pour un montant d'environ 101 000 $, un attaquant ayant vidé 82 316 USDC et 19 075 USDC.e via des retraits non autorisés. L'incident, survenu le 11 mai, est dû à une erreur de logique dans la gestion du cycle de crédit des contrats qui devaient déjà être hors service.
Aucun dépôt d'utilisateur n'a été affecté. Le PayFi Strategy Token (PST) et le déploiement V2 de Huma sur Solana restent entièrement opérationnels et inchangés. Les dommages ont été limités aux frais des propriétaires de pool et aux frais du protocole.
Qu'est-ce qui s'est mal passé dans les contrats obsolètes ?
La cause racine était une erreur de logique du cycle de crédit. Les anciens contrats intelligents présentaient une faille dans la gestion des étapes d'une ligne de crédit, notamment concernant qui pouvait initier des retraits et dans quelles conditions. Cette lacune a permis à quelqu'un de retirer des fonds auxquels il ne devait jamais avoir accès.
Les experts en sécurité ayant analysé l'incident l'ont qualifié de faille de contrôle d'accès évitable, et non d'une nouvelle vulnérabilité zero-day.
La réponse de Huma et son contexte plus large
Huma Finance a annoncé l'exploitation sur les réseaux sociaux le jour même où elle s'est produite. Le protocole a rapidement établi une distinction claire entre ce qui avait été compromis et ce qui ne l'avait pas été. Les dépôts des utilisateurs : sécurisés. Les détentions de PST : non affectées. Le système V2 basé sur Solana : fonctionne normalement. Cette distinction est importante car Huma avait récemment intégré le PST dans ses stratégies de garantie en USD* le 30 avril, soit environ deux semaines avant l'exploitation.
Huma Finance se positionne comme un protocole PayFi décentralisé, reliant le financement des paiements à l'infrastructure sur chaîne. Le protocole a vu le jour en 2025 et développe activement sa présence, en se concentrant particulièrement sur Solana comme chaîne opérationnelle principale à l'avenir. Les contrats V1 basés sur Polygon étaient essentiellement le modèle antérieur, laissé de côté lors de la mise à niveau de l'équipe.
Aucun autre incident majeur ou mise à jour notable de Huma n'a été signalé dans les 30 jours précédant l'exploit.
Ce que cela signifie pour les investisseurs et l'écosystème DeFi
Le problème est que les contrats intelligents obsolètes constituent un point aveugle systémique dans le DeFi. Les protocoles mettent à jour, migrent sur d'autres chaînes, lancent des versions V2 et V3, mais les anciens contrats persistent indéfiniment sur la chaîne. Si les fonds résiduels ne sont pas entièrement retirés et que les contrats ne sont pas sécurisés ou mis en pause, ils deviennent des cibles.
Une analyse experte a indiqué qu'il s'agissait d'une faille d'accès simple, du type de vulnérabilité que des audits plus approfondis détecteraient. La plupart des sociétés d'audit concentrent leur attention sur les nouveaux déploiements, et non sur les anciens qui accumulent de la poussière.
Le marché DeFi dans son ensemble n'a pas montré d'effets significatifs suite à l'exploitation. L'architecture V2 est indépendante des contrats V1 compromis, et aucune preuve ne suggère de vulnérabilités partagées entre les deux.