Huma Finance tiết lộ rằng các hợp đồng BaseCreditPool phiên bản 1 trên Polygon đã bị khai thác, gây thiệt hại khoảng 101.000 USD, với kẻ tấn công rút cạn 82.316 USDC và 19.075 USDC.e thông qua các khoản rút tiền không được ủy quyền. Sự cố xảy ra vào ngày 11 tháng Năm, xuất phát từ lỗi logic trong quản lý chu kỳ tín dụng của các hợp đồng vốn đã được dự kiến ngừng hoạt động.
Không có khoản nạp nào của người dùng bị ảnh hưởng. Token chiến lược PayFi (PST) và bản triển khai V2 của Huma trên Solana vẫn hoạt động bình thường và không bị tác động. Thiệt hại chỉ giới hạn ở phí chủ hồ sơ và phí giao thức.
Điều gì đã xảy ra trong các hợp đồng đã bị ngừng hỗ trợ
Nguyên nhân gốc rễ là một lỗi logic trong chu kỳ tín dụng. Các hợp đồng thông minh cũ có lỗ hổng trong cách quản lý các giai đoạn của hạn mức tín dụng, cụ thể là về việc ai có thể khởi tạo việc rút tiền và dưới điều kiện nào. Khoảng trống đó cho phép một người rút tiền mà họ không bao giờ được phép truy cập.
Các chuyên gia bảo mật phân tích sự cố đã mô tả đây là một lỗ hổng kiểm soát truy cập có thể ngăn ngừa, thay vì một lỗ hổng zero-day mới lạ.
Phản hồi của Huma và bối cảnh tổng thể
Huma Finance đã thông báo về vụ tấn công trên mạng xã hội ngay trong ngày sự việc xảy ra. Giao thức nhanh chóng phân biệt rõ ràng giữa những gì bị xâm phạm và những gì không bị ảnh hưởng: khoản nạp của người dùng: an toàn; tài sản PST: không bị ảnh hưởng; hệ thống V2 dựa trên Solana: hoạt động bình thường. Sự phân biệt này quan trọng vì Huma vừa tích hợp PST vào các chiến lược hỗ trợ USD* vào ngày 30 tháng Tư, chỉ khoảng hai tuần trước vụ tấn công.
Huma Finance định vị mình là một giao thức PayFi phi tập trung, kết nối tài trợ thanh toán với cơ sở hạ tầng trên chuỗi. Giao thức này ra đời năm 2025 và đang không ngừng mở rộng hiện diện, với trọng tâm đặc biệt vào Solana như chuỗi vận hành chính trong tương lai. Các hợp đồng V1 dựa trên Polygon về cơ bản là mô hình cũ, đã bị bỏ lại sau khi đội ngũ nâng cấp.
Không có sự cố lớn hoặc cập nhật đáng chú ý nào khác từ Huma được báo cáo trong 30 ngày trước vụ khai thác.
Điều này có nghĩa gì đối với các nhà đầu tư và hệ sinh thái DeFi
Điểm mấu chốt là các hợp đồng thông minh đã bị ngừng hỗ trợ đại diện cho một điểm mù hệ thống trong toàn bộ DeFi. Các giao thức nâng cấp, di chuyển chuỗi, ra mắt các phiên bản V2 và V3, nhưng các hợp đồng cũ vẫn tồn tại vĩnh viễn trên chuỗi. Nếu các khoản tiền còn sót lại không được rút hết và các hợp đồng không được tăng cường bảo mật hoặc tạm dừng, chúng sẽ trở thành mục tiêu.
Phân tích chuyên gia cho thấy đây là một lỗ hổng kiểm soát truy cập đơn giản, loại lỗ hổng mà các cuộc kiểm toán sâu hơn sẽ phát hiện ra. Hầu hết các công ty kiểm toán tập trung sự chú ý vào các bản triển khai mới, chứ không phải những bản cũ đang tích tụ bụi.
Thị trường DeFi rộng hơn không cho thấy tác động đáng kể nào từ vụ khai thác lỗ hổng. Kiến trúc V2 tách biệt hoàn toàn với các hợp đồng V1 bị xâm phạm, và không có bằng chứng nào cho thấy sự chia sẻ lỗ hổng giữa hai hệ thống này.