Huma Finance mengungkapkan bahawa kontrak V1 BaseCreditPool yang telah ditinggalkan di Polygon telah dieksploitasi sebanyak kira-kira $101,000, dengan penyerang menarik 82,316 USDC dan 19,075 USDC.e melalui penarikan tidak sah. Insiden ini, yang berlaku pada 11 Mei, berpunca daripada ralat logik dalam pengurusan kitaran kredit pada kontrak yang sepatutnya sudah tidak digunakan.
Tiada deposit pengguna yang terjejas. Token Strategi PayFi (PST) dan pelaksanaan V2 Huma di Solana masih beroperasi sepenuhnya dan tidak disentuh. Kerosakan terhadap bayaran pemilik kolam dan bayaran protokol.
Apa yang salah dalam kontrak yang telah ditinggalkan
Punca utama adalah kesalahan logik kitaran kredit. Kontrak pintar lama mempunyai kelemahan dalam cara mereka mengurus peringkat garis kredit, khususnya mengenai siapa yang boleh memulakan penarikan dana dan di bawah syarat apa. Kesenjangan itu membolehkan seseorang menarik dana yang seharusnya tidak pernah boleh diakses.
Ahli keselamatan yang menganalisis insiden tersebut menggambarkannya sebagai kelemahan kawalan akses yang boleh dicegah, bukan sebagai kelemahan zero-day yang baru.
Respons Huma dan konteks yang lebih luas
Huma Finance mengumumkan serangan itu di media sosial pada hari yang sama ia berlaku. Protokol itu cepat menetapkan garis jelas antara apa yang terjejas dan apa yang tidak. Deposit pengguna: selamat. Pemilikan PST: tidak terjejas. Sistem V2 berasaskan Solana: beroperasi seperti biasa. Perbezaan ini penting kerana Huma baru-baru ini mengintegrasikan PST ke dalam strategi sokongan USD* pada 30 April, hanya kira-kira dua minggu sebelum serangan itu.
Huma Finance menempatkan dirinya sebagai protokol PayFi terdesentralisasi, menghubungkan pembiayaan pembayaran dengan infrastruktur di rantai. Protokol ini bermula pada 2025 dan terus memperluas kehadirannya dengan fokus khusus pada Solana sebagai rantai operasi utama ke depan. Kontrak V1 berbasis Polygon pada dasarnya adalah model lama yang ditinggalkan semasa pasukan meningkatkan sistem.
Tiada insiden besar atau kemas kini ketara lain dari Huma yang dilaporkan dalam 30 hari sebelum serangan.
Apa yang ini bermaksud kepada pelabur dan ekosistem DeFi
Intinya, kontrak pintar yang ditinggalkan mewakili titik buta sistemik di seluruh DeFi. Protokol mengupas, memindahkan rantai, melancarkan versi V2 dan V3, tetapi kontrak lama kekal selama-lamanya di rantai. Jika dana sisa tidak sepenuhnya ditarik dan kontrak tidak diperkuat atau dihentikan, mereka menjadi sasaran.
Analisis pakar menunjukkan ini adalah kelemahan kawalan akses yang mudah, sejenis kelemahan yang akan dikesan oleh audit yang lebih mendalam. Kebanyakan firma audit menumpukan perhatian kepada pelancaran baharu, bukan yang lama yang mengumpul debu.
Pasar DeFi yang lebih luas tidak menunjukkan kesan signifikan daripada eksploit tersebut. Arsitektur V2 adalah berasingan daripada kontrak V1 yang diserang, dan tiada bukti yang menunjukkan kerentanan bersama antara keduanya.