Huma Finance mengungkapkan bahwa kontrak V1 BaseCreditPool yang sudah tidak digunakan di Polygon dieksploitasi sebesar sekitar $101.000, dengan penyerang menguras 82.316 USDC dan 19.075 USDC.e melalui penarikan tidak sah. Insiden ini, yang terjadi pada 11 Mei, berasal dari kesalahan logika dalam manajemen siklus kredit pada kontrak yang seharusnya sudah tidak aktif.
Tidak ada setoran pengguna yang terdampak. Token Strategi PayFi (PST) dan penyebaran V2 Huma di Solana tetap beroperasi sepenuhnya dan tidak tersentuh. Kerusakan terbatas pada biaya pemilik kolam dan biaya protokol.
Apa yang salah pada kontrak yang sudah tidak digunakan
Penyebab utama adalah kesalahan logika siklus kredit. Kontrak pintar lama memiliki kelemahan dalam cara mereka mengelola tahapan garis kredit, khususnya terkait siapa yang dapat memulai penarikan dana dan di bawah kondisi apa. Kesenjangan tersebut memungkinkan seseorang menarik dana yang seharusnya tidak pernah bisa mereka akses.
Ahli keamanan yang menganalisis insiden tersebut menggambarkannya sebagai kelemahan kontrol akses yang dapat dicegah, bukan kerentanan nol-hari yang baru.
Respons Huma dan konteks yang lebih luas
Huma Finance mengumumkan eksploitasi tersebut di media sosial pada hari yang sama kejadian terjadi. Protokol tersebut cepat menarik garis jelas antara apa yang terdampak dan apa yang tidak. Setoran pengguna: aman. Pemegang PST: tidak terpengaruh. Sistem V2 berbasis Solana: beroperasi normal. Perbedaan ini penting karena Huma baru saja mengintegrasikan PST ke dalam strategi pendukung USD* pada 30 April, sekitar dua minggu sebelum eksploitasi.
Huma Finance menempatkan dirinya sebagai protokol PayFi terdesentralisasi, yang menghubungkan pembiayaan pembayaran dengan infrastruktur on-chain. Protokol ini berasal pada 2025 dan terus memperluas kehadirannya dengan fokus khusus pada Solana sebagai rantai operasional utama ke depan. Kontrak V1 berbasis Polygon pada dasarnya adalah model lama yang ditinggalkan saat tim melakukan pembaruan.
Tidak ada insiden besar atau pembaruan penting lainnya dari Huma yang dilaporkan dalam 30 hari sebelum eksploitasi.
Apa artinya ini bagi para investor dan ekosistem DeFi
Intinya, kontrak pintar yang sudah tidak didukung mewakili titik buta sistemik di seluruh DeFi. Protokol meng-upgrade, memigrasi rantai, meluncurkan iterasi V2 dan V3, tetapi kontrak lama tetap bertahan di blockchain selamanya. Jika dana sisa tidak sepenuhnya ditarik dan kontrak tidak diperkuat atau dijeda, mereka menjadi sasaran.
Analisis ahli menunjukkan ini adalah kelemahan kontrol akses yang sederhana, jenis kerentanan yang akan terdeteksi oleh audit yang lebih mendalam. Sebagian besar perusahaan audit fokus pada penyebaran baru, bukan yang lama yang mengumpulkan dust.
Pasar DeFi yang lebih luas tidak menunjukkan efek berantai signifikan dari eksploitasi tersebut. Arsitektur V2 terpisah dari kontrak V1 yang disusupi, dan tidak ada bukti yang menunjukkan kerentanan bersama antara keduanya.