Kekeliruan logika menguras $101K dari kontrak Polygon lama Huma

Serangan terhadap kontrak pintar V1 dari Huma Finance di Polygon mengakibatkan kerugian sebesar $101.400 USDC. Eksploitasi ini menambah masa sulit yang sudah dialami oleh protokol DeFi di jaringan tersebut.

Eksploitasi dilaporkan oleh perusahaan keamanan web3, Blockaid. Penyerang menargetkan penyebaran BaseCreditPool yang terkait dengan infrastruktur V1 lama Huma. Total kerugian sekitar ~$101.400 dalam koin USDC dan USDC.e di berbagai kontrak.

Huma Finance mengonfirmasi insiden tersebut di X, mengatakan “Tidak ada dana pengguna yang berisiko dan PST tidak terpengaruh.” Tim mengatakan sistem V2 mereka, yang berjalan di Solana, dibangun dari awal. Sistem ini tidak berbagi kode dengan kontrak yang dikompromikan.

Celah V1 Huma terletak pada satu fungsi

Celah kontrak pintar ditemukan di dalam fungsi bernama refreshAccount(). Ini adalah fungsi yang terletak dalam kontrak BaseCreditPool V1. Peneliti keamanan Blockaid mengidentifikasi bug tersebut. Mereka membagikan informasi lebih lanjut di X, mengatakan:

“Bug: refreshAccount() secara tidak kondisional mempromosikan kredit yang Diminta ke GoodStanding, melewati langkah persetujuan EA dan memungkinkan penarikan dana().”

refreshAccount() menandai akun dengan ‘good standing’ tanpa verifikasi atau kondisi nyata. Penyerang memanfaatkan celah ini dan menguras dana dari pool kas protokol.

Kerugian ditemukan di tiga kontrak menurut analisis on-chain dari Blockaid. Satu akun kehilangan sekitar 82.300 USDC. Akun kedua kehilangan sekitar 17.300 USDC.e. Dan akun ketiga kehilangan sekitar 1.800 USDC.e. Menurut data on-chain, seluruh eksploitasi diselesaikan dalam satu transaksi.

Tidak ada masalah kriptografi. Penyerang hanya mengubah mesin status kontrak untuk menipu agar memperlakukan akun yang tidak berwenang sebagai sah.

Tim Huma menulis di X, “Hari ini sebelumnya, kerentanan di kontrak legacy v1 Huma di Polygon dieksploitasi sebesar 101.400 USDC.” Mereka melanjutkan, “Sistem v2 Huma di Solana adalah penulisan ulang lengkap dan masalah ini tidak berlaku untuk sistem v2.”

Huma mengatakan mereka sudah mulai menutup operasi V1 sebelum eksploitasi terjadi. Tim mengatakan di X, “Tim-tim tersebut sudah dalam proses menutup semua pool v1 legacy, dan sekarang telah sepenuhnya menghentikan v1.”

Setelah insiden, tim sepenuhnya menghentikan semua kontrak V1 yang tersisa. Perusahaan menyatakan bahwa deposit pengguna di V2 tidak terganggu dan platform yang lebih baru tetap beroperasi normal.

Kontrak korban: (Huma V1 BaseCreditPool – 82.315,57 USDC) (Huma V1 BaseCreditPool – 17.290,76 USDC.e) (Huma V1 BaseCreditPool – 1.783,97 USDC.e)

Penyerang: Kontrak eksploitasi:…

— Blockaid (@blockaid_) 11 Mei 2026

Polygon mengalami hari yang buruk

Menurut laporan terbaru dari Cryptopolitan, eksploitasi terjadi pada hari yang sama ketika Ink Finance kehilangan hampir $140.000 dari kontrak Workspace Treasury Proxy-nya di Polygon. Penyerang menyebarkan kontrak yang cocok dengan alamat klaim yang di-whitelist untuk melewati pemeriksaan kelayakan.

Dalam kedua insiden, penyerang menemukan kesalahan logika dalam desain kontrak pintar. Eksploitasi berturut-turut di Polygon ini terjadi setelah April 2026, mencatat bulan terburuk dalam kerugian kontrak pintar.

Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetap di sana dengan newsletter kami.