हुमा फाइनेंस ने घोषणा की कि पॉलिगॉन पर अपने उपयोग बंद V1 बेसक्रेडिटपूल कॉन्ट्रैक्ट्स का लगभग $101,000 का दुरुपयोग किया गया, जिसमें एक हमलावर ने अनधिकृत निकासी के माध्यम से 82,316 USDC और 19,075 USDC.e खाली कर दिया। यह घटना 11 मई को घटित हुई, जो पहले से ही बंद होने की योजना बनाई गई कॉन्ट्रैक्ट्स के क्रेडिट-लाइफसाइकिल प्रबंधन में तर्क त्रुटि से जुड़ी है।
कोई उपयोगकर्ता डिपॉज़िट प्रभावित नहीं हुए। पेफाई स्ट्रैटेजी टोकन (PST) और हूमा का सोलाना पर V2 डिप्लॉयमेंट पूरी तरह से सक्रिय और अछूता रहा। क्षति केवल पूल मालिक शुल्क और प्रोटोकॉल शुल्क तक सीमित रही।
अप्रचलित कॉन्ट्रैक्ट्स में क्या गलत हुआ
मूल कारण एक क्रेडिट-लाइफसाइकिल तर्क त्रुटि थी। पुराने स्मार्ट कॉन्ट्रैक्ट्स में एक क्रेडिट लाइन के चरणों के प्रबंधन के तरीके में एक दोष था, विशेष रूप से यह कि कौन ड्रॉडाउन्स शुरू कर सकता है और किन परिस्थितियों के तहत। यह अंतर किसी को ऐसी राशि निकालने की अनुमति देता था जिसका उन्हें कभी एक्सेस करना चाहिए नहीं था।
दुर्घटना का विश्लेषण करने वाले सुरक्षा विशेषज्ञों ने इसे किसी नवीन जीरो-डे वल्नरेबिलिटी के बजाय एक रोकने योग्य एक्सेस-कंट्रोल दोष के रूप में वर्णित किया।
हुमा की प्रतिक्रिया और व्यापक संदर्भ
हुमा फाइनेंस ने सोशल मीडिया पर उसी दिन एक्सप्लॉइट की घोषणा की जिस दिन यह हुआ। प्रोटोकॉल ने जल्दी से यह स्पष्ट कर दिया कि क्या प्रभावित हुआ और क्या नहीं। उपयोगकर्ता डिपॉज़िट: सुरक्षित। PST होल्डिंग्स: अप्रभावित। सोलाना-आधारित V2 सिस्टम: सामान्य रूप से संचालित। यह अंतर महत्वपूर्ण है क्योंकि हुमा ने 30 अप्रैल को, एक्सप्लॉइट से लगभग दो सप्ताह पहले, USD* बैकिंग स्ट्रैटेजी में PST को एकीकृत किया था।
हुमा फाइनेंस खुद को एक डिसेंट्रलाइज्ड पे-फाई प्रोटोकॉल के रूप में स्थापित करता है, जो भुगतान वित्तपोषण को ऑन-चेन इंफ्रास्ट्रक्चर के साथ जोड़ता है। यह प्रोटोकॉल 2025 में शुरू हुआ और आगे के लिए अपनी उपस्थिति को विशेष रूप से सोलाना को अपनी प्राथमिक संचालन श्रृंखला के रूप में अपनाते हुए विकसित कर रहा है। पॉलिगॉन-आधारित V1 कॉन्ट्रैक्ट मूल रूप से पुराना मॉडल थे, जिन्हें टीम द्वारा अपग्रेड करते समय छोड़ दिया गया।
एक्सप्लॉइट से पहले के 30 दिनों में हूमा से कोई अन्य प्रमुख घटनाएँ या ध्यान योग्य अपडेट नहीं दर्ज किए गए।
इसका निवेशकों और DeFi परितंत्र के लिए क्या अर्थ है
बात यह है कि अप्रचलित स्मार्ट कॉन्ट्रैक्ट्स DeFi में एक सिस्टमिक अंधबिंदु का प्रतिनिधित्व करते हैं। प्रोटोकॉल अपग्रेड करते हैं, चेन्स पर माइग्रेट करते हैं, V2 और V3 इटरेशन लॉन्च करते हैं, लेकिन पुराने कॉन्ट्रैक्ट्स ऑन-चेन पर अनिश्चित काल तक बने रहते हैं। यदि शेष फंड पूरी तरह से निकाले नहीं जाते हैं और कॉन्ट्रैक्ट्स को हार्डेन या पॉज़ नहीं किया जाता है, तो वे लक्ष्य बन जाते हैं।
विशेषज्ञ विश्लेषण ने यह दर्शाया कि यह एक सीधा एक्सेस-नियंत्रण दोष था, ऐसी कमजोरी जिसे गहरी ऑडिटें पकड़ लेतीं। अधिकांश ऑडिट फर्में नए डिप्लॉयमेंट्स पर ध्यान केंद्रित करती हैं, न कि डस्ट जमा हो रहे पुराने।
व्यापक DeFi बाजार में एक्सप्लॉइट से कोई महत्वपूर्ण लहरें नहीं दिखीं। V2 आर्किटेक्चर, संक्रमित V1 कॉन्ट्रैक्ट्स से अलग है, और दोनों के बीच साझा वल्नरेबिलिटीज का कोई सबूत नहीं है।