Huma Finance сообщила, что устаревшие контракты V1 BaseCreditPool на Polygon были скомпрометированы на сумму около 101 000 долларов США, при этом злоумышленник извлек 82 316 USDC и 19 075 USDC.e через неавторизованные списания. Инцидент, произошедший 11 мая, связан с логической ошибкой в управлении жизненным циклом кредитов в контрактах, которые уже должны были быть выведены из эксплуатации.
Не затронуты депозиты пользователей. Стратегический токен PayFi (PST) и развертывание Huma V2 на Solana остаются полностью функциональными и неизменными. Ущерб ограничился сборами владельцев пулов и протокольными сборами.
Что пошло не так в устаревших контрактах
Основной причиной стала ошибка в логике жизненного цикла кредита. Старые смарт-контракты имели недостаток в управлении этапами кредитной линии, особенно в отношении того, кто может инициировать изъятие средств и при каких условиях. Эта уязвимость позволила кому-то получить доступ к средствам, к которым он никогда не должен был иметь право.
Эксперты по безопасности, анализировавшие инцидент, охарактеризовали его как предотвратимый недостаток управления доступом, а не как какую-либо новую уязвимость нулевого дня.
Ответ Huma и более широкий контекст
Huma Finance объявила о взломе в социальных сетях в тот же день, когда он произошел. Протокол быстро провел четкую грань между тем, что было скомпрометировано, и тем, что осталось нетронутым. Депозиты пользователей: безопасны. Держатели PST: не затронуты. Система V2 на Solana: работает в штатном режиме. Это различие имеет значение, поскольку Huma недавно интегрировала PST в стратегии обеспечения USD* 30 апреля, всего за две недели до взлома.
Huma Finance позиционирует себя как децентрализованный протокол PayFi, объединяющий финансирование платежей с инфраструктурой на цепочке. Протокол был запущен в 2025 году и продолжает расширять свое присутствие, сосредоточившись в первую очередь на Solana как на основной операционной цепочке в будущем. Контракты V1 на основе Polygon были устаревшей моделью, оставленной командой после обновления.
За 30 дней до эксплуатации не сообщалось о других серьезных инцидентах или значимых обновлениях от Huma.
Что это означает для инвесторов и экосистемы DeFi
Суть в том, что устаревшие смарт-контракты представляют собой системную слепую зону в DeFi. Протоколы обновляются, мигрируют на другие цепочки, запускают версии V2 и V3, но старые контракты остаются на блокчейне неограниченно долго. Если остаточные средства не полностью извлечены, а контракты не защищены или не приостановлены, они становятся мишенями.
Экспертный анализ показал, что это была простая уязвимость контроля доступа — тип уязвимости, который выявляют более глубокие аудиты. Большинство аудиторских фирм сосредотачивают внимание на новых развертываниях, а не на старых, собравших пыль.
Более широкий рынок DeFi не продемонстрировал значимых последствий от эксплуатации уязвимости. Архитектура V2 отделена от скомпрометированных контрактов V1, и нет доказательств общих уязвимостей между ними.