Huma Finance, Polygon'da kullanım dışı bırakılmış V1 BaseCreditPool sözleşmelerinin yaklaşık 101.000 dolarlık bir zarara neden olacak şekilde istismar edildiğini açıkladı; bir saldırgan, yetkisiz çekimler yoluyla 82.316 USDC ve 19.075 USDC.e yi boşalttı. Olay, 11 Mayıs'ta gerçekleşti ve zaten devre dışı bırakılması gereken sözleşmelerin kredi yaşam döngüsü yönetimiyle ilgili bir mantık hatasından kaynaklandı.
Hiçbir kullanıcı yatırması etkilenmedi. PayFi Strateji Tokeni (PST) ve Huma’nın Solana üzerindeki V2 dağıtımı tamamen işlevsel ve değiştirilmemiş durumda. Hasar, havuz sahibi ücretlerine ve protokol ücretlerine sınırlı kaldı.
Eski sözleşmelerde ne yanlış gitti
Kök neden, kredi yaşam döngüsü mantık hatasıydı. Eski akıllı sözleşmelerde, kredi hattının aşamalarını yönetme şekliyle ilgili bir hata vardı; özellikle kimlerin çekim başlatabileceğine ve hangi koşullar altında olmasına dair. Bu boşluk, kimse hiçbir zaman erişememesi gereken fonları çekmeyi mümkün kıldı.
Olayı inceleyen güvenlik uzmanları, bunun yeni bir sıfır-gün açıkları değil, önlenebilir bir erişim kontrolü eksikliği olarak tanımladı.
Huma'nın yanıtı ve daha geniş bağlam
Huma Finance, olayla aynı gün sosyal medyada saldırıyı duyurdu. Protokol, tehlikeye girenlerle girmeyenler arasında net bir çizgi çekmek için hızlı harekete geçti. Kullanıcı yatırımları: güvenli. PST tutarları: etkilenmedi. Solana tabanlı V2 sistemi: normal şekilde çalışıyor. Bu ayrımın önemi, Huma'nın son olarak 30 Nisan'da USD* destek stratejilerine PST entegre etmiş olması ve saldırının tam olarak iki hafta sonra gerçekleşmiş olmasıdır.
Huma Finance, ödeme finansmanını zincir içi altyapıyla birleştiren merkeziyetsiz bir PayFi protokolü olarak konumlanıyor. Protokol 2025 yılında başlamış ve ilerleyen süreçte ana operasyon zinciri olarak Solana'ya odaklanarak varlığını geliştiriyor. Polygon tabanlı V1 sözleşmeleri eski modeldi ve ekip yükseltme yaparken arka planda bırakıldı.
Saldırıdan önceki 30 gün içinde Huma ile ilgili başka önemli olay veya dikkat çekici güncelleme bildirilmedi.
Yatırımcılar ve DeFi ekosistemi için bunun ne anlama geldiğini
Nokta, kullanımdan kaldırılmış akıllı sözleşmelerin DeFi boyunca sistemik bir göz ardısı oluşturmasıdır. Protokoller yükseltme yapar, zincirler arasında geçiş yapar, V2 ve V3 sürümleri başlatır, ancak eski sözleşmeler zincir üzerinde sonsuza dek kalır. Kalan fonlar tamamen çekilmemişse ve sözleşmeler sertleştirilmediyse veya durdurulmadıysa, hedef haline gelirler.
Uzman analizleri, bunun basit bir erişim kontrol açıklaması olduğunu gösterdi; daha derin denetimlerin yakalayacağı türden bir zafiyet. Çoğu denetim firması, dust toplayan eski sistemler yerine yeni dağıtımlara odaklanır.
Daha geniş DeFi pazarı, sızıntının etkilerini göstermedi. V2 mimarisi, ihlal edilen V1 sözleşmelerinden ayrıdır ve ikisi arasında ortak zafiyetlere dair hiçbir kanıt yoktur.