Une faille logique vide $101K des anciens contrats Polygon de Huma

Une attaque contre les contrats intelligents V1 de Huma Finance sur Polygon a entraîné une perte de 101 400 USDC. L’exploitation s’ajoute à une période déjà difficile pour les protocoles DeFi sur le réseau.

L’exploitation a été signalée par la société de sécurité web3 Blockaid. L’attaquant a ciblé les déploiements de BaseCreditPool liés à l’infrastructure V1 plus ancienne de Huma. La perte totale s’élève à environ 101 400 $ en USDC et en pièces USDC.e sur divers contrats.

Huma Finance a confirmé l’incident sur X, en déclarant « Aucun fonds utilisateur à risque et PST n’est impacté. » L’équipe a indiqué que son système V2, qui fonctionne sur Solana, a été entièrement reconstruit. Il ne partage aucun code avec les contrats compromis.

La faille de Huma dans la V1 concernait une seule fonction

La faille du contrat intelligent a été trouvée dans une fonction nommée refreshAccount(). C’est une fonction située dans les contrats V1 BaseCreditPool. Les chercheurs en sécurité de Blockaid ont identifié le bug. Ils ont partagé plus d’informations sur X, en disant :

« Bug : refreshAccount() promeut inconditionnellement une ligne de crédit demandée en Bonne Situation, en contournant l’étape d’approbation EA et en permettant le tirage. »

refreshAccount() marquait les comptes comme « en bonne situation » sans vérification ou conditions réelles. L’attaquant a exploité cette faille et vidé les fonds des pools de trésorerie du protocole.

Les pertes ont été trouvées dans trois contrats selon l’analyse on-chain de Blockaid. Un compte a perdu environ 82 300 USDC. Un second a perdu environ 17 300 USDC.e. Et un troisième compte a perdu environ 1 800 USDC.e. Selon les données on-chain, toute l’exploitation a été réalisée en une seule transaction.

Il n’y avait pas de problème cryptographique. L’attaquant a simplement modifié la machine à états du contrat pour la faire traiter un compte non autorisé comme légitime.

L’équipe de Huma a écrit sur X : « Plus tôt aujourd’hui, une vulnérabilité dans les contrats legacy v1 de Huma sur Polygon a été exploitée pour 101 400 USDC. » Ils ont poursuivi : « Le système V2 de Huma sur Solana est une réécriture complète et ce problème ne s’applique pas aux systèmes V2. »

Huma a indiqué qu’il avait déjà commencé à réduire ses opérations V1 avant l’exploitation. L’équipe a déclaré sur X : « Les équipes étaient déjà en train de mettre fin à tous les pools legacy v1, et ont complètement suspendu le v1 maintenant. »

Après l’incident, l’équipe a totalement suspendu tous les contrats V1 restants. La société a précisé que les dépôts des utilisateurs sur V2 n’ont pas été affectés et que la plateforme plus récente continue de fonctionner normalement.

Contrats victimes : (Huma V1 BaseCreditPool – 82 315,57 USDC) (Huma V1 BaseCreditPool – 17 290,76 USDC.e) (Huma V1 BaseCreditPool – 1 783,97 USDC.e)

Attaquant :
Contrat d’exploitation :…

— Blockaid (@blockaid_) 11 mai 2026

Polygon a connu une mauvaise journée

Selon un rapport récent de Cryptopolitan, l’exploitation a eu lieu le même jour où Ink Finance a perdu près de 140 000 $ de son contrat Workspace Treasury Proxy sur Polygon. L’attaquant a déployé un contrat correspondant à une adresse de réclamation en liste blanche pour contourner les vérifications d’éligibilité.

Dans les deux incidents, les attaquants ont trouvé des erreurs logiques dans la conception des contrats intelligents. Les exploits consécutifs sur Polygon interviennent après avril 2026, établissant le record du mois le plus meurtrier en pertes de contrats intelligents.

Si vous lisez ceci, vous avez déjà une longueur d’avance. Restez-y avec notre newsletter.