Defecto lógico drena $101K de los antiguos contratos de Polygon de Huma

Un ataque a los contratos inteligentes V1 de Huma Finance en Polygon resultó en una pérdida de 101,400 USDC. La explotación se sumó a lo que ya ha sido un momento difícil para los protocolos DeFi en la red.

La explotación fue reportada por la firma de seguridad web3 Blockaid. El atacante dirigió los despliegues de BaseCreditPool relacionados con la infraestructura V1 más antigua de Huma. La pérdida total fue de aproximadamente 101,400 dólares en USDC y monedas USDC.e en varios contratos.

Huma Finance confirmó el incidente en X, diciendo “No hay fondos de usuarios en riesgo y PST no se ve afectado.” El equipo dijo que su sistema V2, que funciona en Solana, fue construido desde cero. No comparte código con los contratos comprometidos.

La falla de Huma en V1 estuvo en una función

La falla del contrato inteligente se encontró dentro de una función llamada refreshAccount(). Es una función ubicada dentro de los contratos BaseCreditPool V1. Los investigadores de seguridad de Blockaid identificaron el error. Compartieron más información en X, diciendo:

“Error: refreshAccount() promueve incondicionalmente una línea de crédito solicitada a GoodStanding, saltándose el paso de aprobación de EA y permitiendo el disposición de fondos (drawdown).”

refreshAccount() etiquetaba las cuentas como ‘en buena posición’ sin verificación o condiciones reales. El atacante aprovechó esta falla y drenó fondos de los fondos del tesoro del protocolo.

Las pérdidas se encontraron en tres contratos según el análisis en cadena de Blockaid. Una cuenta perdió aproximadamente 82,300 USDC. Otra perdió aproximadamente 17,300 USDC.e. Y una tercera cuenta perdió aproximadamente 1,800 USDC.e. Según datos en cadena, toda la explotación se completó en una sola transacción.

No hubo problema criptográfico. El atacante simplemente cambió el estado del contrato para engañarlo y que tratara una cuenta no autorizada como legítima.

El equipo de Huma escribió en X, “Hoy temprano, se explotó una vulnerabilidad en los contratos legados v1 de Huma en Polygon por 101,400 USDC.” Continuaron, “El sistema V2 de Huma en Solana es una reescritura completa y este problema no aplica a los sistemas V2.”

Huma dijo que ya había estado reduciendo las operaciones de V1 antes de que ocurriera la explotación. El equipo dijo en X, “Los equipos ya estaban en proceso de eliminar todos los pools legados v1, y ahora han pausado completamente V1.”

Después del incidente, el equipo pausó completamente todos los contratos V1 restantes. La compañía dijo que los depósitos de los usuarios en V2 no se vieron afectados y que la plataforma más nueva continúa operando normalmente.

Contratos víctimas: (Huma V1 BaseCreditPool – 82,315.57 USDC) (Huma V1 BaseCreditPool – 17,290.76 USDC.e) (Huma V1 BaseCreditPool – 1,783.97 USDC.e)

Atacante:
Contrato de explotación:…

— Blockaid (@blockaid_) 11 de mayo de 2026

Polygon tuvo un día difícil

Según un informe reciente de Cryptopolitan, la explotación ocurrió el mismo día en que Ink Finance perdió casi 140,000 dólares de su contrato Workspace Treasury Proxy en Polygon. El atacante desplegó un contrato que coincidía con una dirección de reclamante en la lista blanca para eludir las verificaciones de elegibilidad.

En ambos incidentes, los atacantes encontraron errores lógicos en el diseño del contrato inteligente. Las explotaciones consecutivas en Polygon ocurren después de abril de 2026, estableciendo el récord del peor mes en pérdidas por contratos inteligentes.

Si estás leyendo esto, ya estás un paso adelante. Mantente así con nuestro boletín.