Huma Finance повідомила, що застарілі контракти V1 BaseCreditPool на Polygon були використані для викрадення приблизно $101 000, коли нападник вивів 82 316 USDC та 19 075 USDC.e шляхом неавторизованих зняттів. Інцидент, що відбувся 11 травня, пов’язаний з логічною помилкою в управлінні життєвим циклом кредиту в контрактах, які вже мали бути виведені з експлуатації.
Жодні депозити користувачів не були вплинуті. Стратегічний токен PayFi (PST) та розгортання Huma V2 на Solana залишаються повністю функціональними й незмінними. Збитки обмежилися комісіями власників пулів та протокольними комісіями.
Що пішло не так у застарілих контрактах
Основною причиною була помилка в логіці життєвого циклу кредиту. Старі смартконтракти мали недолік у тому, як вони керували етапами кредитної лінії, зокрема щодо того, хто міг ініціювати виведення коштів і за яких умов. Ця прогалина дозволила комусь отримати доступ до коштів, до яких вони ніколи не мали б права.
Експерти з безпеки, які аналізували інцидент, охарактеризували його як запобіжний недолік контролю доступу, а не як якусь нову вразливість нульового дня.
Відповідь Huma та загальний контекст
Huma Finance оголосила про витік на соціальних медіях того ж дня, коли він відбувся. Протокол швидко провів чітку межу між тим, що було скомпрометовано, і тим, що залишилося незатражденим. Депозити користувачів: безпечні. Утримання PST: не постраждали. Система V2 на базі Solana: працює нормально. Ця різниця має значення, оскільки Huma недавно інтегрувала PST у стратегії підтримки USD* 30 квітня, за два тижні до витоку.
Huma Finance позиціонує себе як децентралізований протокол PayFi, що поєднує фінансування платежів з інфраструктурою ланцюга. Протокол був запущений у 2025 році і продовжує розширювати свою присутність, зосереджуючись на Solana як на основній оперативній ланцюзі у майбутньому. Контракти V1 на Polygon були старою моделлю, яку залишили після оновлення командою.
За 30 днів до експлуатації не було повідомлено про інші серйозні інциденти чи помітні оновлення від Huma.
Що це означає для інвесторів та екосистеми DeFi
Суть у тому, що застарілі смартконтракти становлять системну слізу точку в усій DeFi. Протоколи оновлюються, мігрують на інші ланцюги, запускають версії V2 і V3, але старі смартконтракти залишаються на ланцюзі назавжди. Якщо залишкові кошти не виведені повністю, а смартконтракти не захищені чи не призупинені, вони стають мішенями.
Експертний аналіз показав, що це була проста проблема з контролем доступу — тип вразливості, яку виявляли б глибші аудити. Більшість аудиторських фірм зосереджують увагу на нових розгортаннях, а не на старих, які збирають пил.
Ширший ринок DeFi не продемонстрував значних наслідків від експлойту. Архітектура V2 є окремою від скомпрометованих контрактів V1, і немає жодних доказів спільних вразливостей між ними.