Huma Financeは、Polygon上の廃止済みのV1 BaseCreditPool契約が、不正な引き出しにより約101,000ドル分が攻撃されたことを公表しました。攻撃者は82,316 USDCと19,075 USDC.eを不正に引き出しました。この出来事は5月11日に発生し、すでに使用停止が予定されていた契約のクレジットライフサイクル管理におけるロジックエラーが原因でした。
ユーザーの入金には影響ありません。PayFi戦略トークン(PST)およびHumaのSolana上のV2デプロイメントは、完全に稼働中であり、一切の改変はありません。損失はプール所有者手数料とプロトコル手数料に限定されています。
廃止された契約で何がうまくいかなかったのか
根本原因はクレジットライフサイクルのロジックエラーでした。古いスマートコントラクトには、クレジットラインのステージ管理に欠陥があり、特に誰が引き出しを開始できるか、およびその条件に関する部分に問題がありました。この隙間により、本来アクセスできないはずの資金を引き出せる状態になっていました。
この事件を分析したセキュリティ専門家は、新しいゼロデイ脆弱性ではなく、予防可能なアクセス制御の欠陥であると評価しました。
Humaの返答と広い文脈
Huma Financeは、不正アクセスが発生した当日、ソーシャルメディアでその事実を発表しました。プロトコルは、侵害された部分とそうでない部分を明確に区別する迅速な対応を取りました。ユーザーの入金:安全。PST保有額:影響なし。SolanaベースのV2システム:通常通り稼働中。この区別は重要です。なぜなら、Humaは不正アクセスの約2週間前の4月30日に、USD*の裏付け戦略にPSTを統合していたからです。
Huma Financeは、支払い資金調達とオンチェーンインフラを橋渡しする分散型PayFiプロトコルとして位置づけられています。このプロトコルは2025年に始まり、今後は主にSolanaを主要な運用チェーンとしてその存在感を拡大してきました。PolygonベースのV1契約は、チームがアップグレードする以前の旧モデルであり、すでに置き換えられました。
攻撃が発生する前の30日間、Humaに関するその他の重大な事象や注目すべき更新は報告されていません。
これは投資家とDeFiエコシステムにどのような意味を持つのか
重要な点は、非推奨となったスマートコントラクトがDeFi全体にシステム的な盲点を生んでいることです。プロトコルはアップグレードされ、チェーンを移行し、V2やV3のバージョンをリリースしますが、古いコントラクトはチェーン上に永続的に残り続けます。残存する資金が完全に引き出されず、コントラクトが強化されたり一時停止されたりしない場合、それらは標的となります。
専門家の分析によると、これは単純なアクセス制御の欠陥であり、より深い監査であれば見つけられるタイプの脆弱性だった。多くの監査会社は、新しいデプロイメントに注目し、ダストがたまった古いものには注意を払わない。
広範なDeFi市場は、この攻撃から顕著な影響を受けませんでした。V2アーキテクチャは、侵害されたV1契約とは分離されており、両者間に共通の脆弱性があるという証拠は一切ありません。