A Huma Finance revelou que seus contratos obsoletos V1 BaseCreditPool na Polygon foram explorados, resultando em aproximadamente US$ 101.000 roubados, com um atacante esvaziando 82.316 USDC e 19.075 USDC.e por meio de retiradas não autorizadas. O incidente, ocorrido em 11 de maio, remonta a um erro de lógica no gerenciamento do ciclo de vida do crédito nos contratos que já deveriam estar fora de operação.
Nenhum depósito do usuário foi afetado. O Token de Estratégia PayFi (PST) e a implantação da V2 da Huma no Solana permanecem totalmente operacionais e inalterados. O dano foi confinado às taxas dos proprietários de pool e às taxas do protocolo.
O que deu errado nos contratos obsoletos
A causa raiz foi um erro na lógica do ciclo de crédito. Os contratos inteligentes antigos tinham uma falha na forma como gerenciavam as etapas de uma linha de crédito, especificamente em relação a quem poderia iniciar saques e sob quais condições. Essa lacuna permitiu que alguém retirasse fundos aos quais nunca deveria ter acesso.
Especialistas em segurança que analisaram o incidente o caracterizaram como uma falha evitável de controle de acesso, e não como uma nova vulnerabilidade zero-day.
Resposta da Huma e contexto mais amplo
A Huma Finance anunciou o ataque nas redes sociais no mesmo dia em que ocorreu. O protocolo agiu rapidamente para estabelecer uma linha clara entre o que foi comprometido e o que não foi. Depósitos dos usuários: seguros. Participações em PST: inalteradas. O sistema V2 baseado em Solana: operando normalmente. Essa distinção é importante porque a Huma havia integrado recentemente o PST às estratégias de lastro em USD* em 30 de abril, cerca de duas semanas antes do ataque.
A Huma Finance posiciona-se como um protocolo PayFi descentralizado, conectando o financiamento de pagamentos à infraestrutura on-chain. O protocolo surgiu em 2025 e tem construído sua presença com foco particular no Solana como sua principal cadeia operacional a partir de agora. Os contratos V1 baseados em Polygon eram essencialmente o modelo anterior, deixado para trás à medida que a equipe realizou atualizações.
Nenhum outro incidente importante ou atualização notável da Huma foi relatado nos 30 dias anteriores à exploração.
O que isso significa para os investidores e o ecossistema DeFi
O ponto é que contratos inteligentes obsoletos representam uma cegueira sistêmica em todo o DeFi. Protocolos atualizam, migram cadeias, lançam versões V2 e V3, mas os contratos antigos persistem na cadeia indefinidamente. Se fundos residuais não forem totalmente retirados e os contratos não forem fortalecidos ou pausados, eles se tornam alvos.
A análise especializada indicou que se tratava de uma falha simples de controle de acesso, um tipo de vulnerabilidade que auditorias mais aprofundadas detectariam. A maioria das empresas de auditoria concentra sua atenção em novas implantações, não em antigas acumulando poeira.
O mercado DeFi como um todo não apresentou efeitos significativos decorrentes da exploração. A arquitetura V2 é separada dos contratos V1 comprometidos, e não há evidências de vulnerabilidades compartilhadas entre os dois.