Huma Finance 表示,其於 Polygon 上已棄用的 V1 BaseCreditPool 合約遭到攻擊,損失約 $101,000,攻擊者透過未經授權的提款,盜取了 82,316 USDC 和 19,075 USDC.e。此事件發生於 5 月 11 日,根源在於這些本應已停用的合約在信用生命週期管理中存在邏輯錯誤。
沒有用戶充幣受到影響。PayFi 策略代幣(PST)和 Huma 在 Solana 上的 V2 部署仍完全正常運作且未受影響。損失僅限於池所有者費用和協議費用。
在已棄用的合約中發生了什麼問題
根本原因是信用週期邏輯錯誤。舊的智能合約在管理信用額度階段時存在缺陷,特別是關於誰可以發起提款以及在何種條件下進行。這個漏洞讓有人能夠提取本不應被訪問的資金。
分析此事件的安全專家將其描述為一項可預防的存取控制缺陷,而非某種全新的零日漏洞。
Huma 的回應與更廣泛的背景
Huma Finance 在事件發生當天於社群媒體上公佈了遭攻擊的消息。該協議迅速明確區分了受影響與未受影響的部分:用戶充幣:安全;PST 持倉:未受影響;基於 Solana 的 V2 系統:運作正常。這一區分至關重要,因為 Huma 剛於 4 月 30 日將 PST 整合至 USD* 背書策略中,距離遭攻擊僅約兩週。
Huma Finance 將自身定位為一個去中心化的 PayFi 協議,連接支付融資與鏈上基礎設施。該協議起源於 2025 年,並持續擴展其佈局,未來將以 Solana 為主要運營鏈。基於 Polygon 的 V1 合約本質上是舊有模型,已在團隊升級後被棄用。
在漏洞發生前的30天內,未有關於Huma的其他重大事件或顯著更新報告。
這對投資者和 DeFi 生態的意義
重點在於,已棄用的智能合約在去中心化金融中構成了一個系統性的盲點。協議會升級、遷移鏈、推出 V2 和 V3 版本,但舊的合約會永久保留在鏈上。如果剩餘資金未被完全提取,且合約未被加固或暫停,它們就會成為攻擊目標。
專家分析指出,這是一種簡單的存取控制缺陷,此類漏洞通常會被更深入的審計發現。大多數審計公司專注於新部署的系統,而非積滿小額資產的舊系統。
更廣泛的 DeFi 市場未因此次攻擊出現顯著波動。V2 架構與受影響的 V1 合約相互獨立,且無證據表明兩者存在共享的漏洞。