Falha de lógica drena $101K dos antigos contratos Polygon de Huma

Um ataque aos contratos inteligentes V1 da Huma Finance na Polygon resultou em uma perda de US$101.400 em USDC. A exploração agravou um período já difícil para os protocolos DeFi na rede.

A exploração foi reportada pela empresa de segurança web3 Blockaid. O atacante direcionou implantações do BaseCreditPool relacionadas à infraestrutura V1 mais antiga da Huma. A perda total foi de aproximadamente US$101.400 em moedas USDC e USDC.e em vários contratos.

A Huma Finance confirmou o incidente no X, dizendo “Nenhum fundo de usuário está em risco e o PST não foi afetado.” A equipe afirmou que seu sistema V2, que roda na Solana, foi construído do zero. Ele não compartilha código com os contratos comprometidos.

A falha do V1 da Huma estava em uma função

A falha no contrato inteligente foi encontrada dentro de uma função chamada refreshAccount(). É uma função localizada nos contratos BaseCreditPool V1. Pesquisadores de segurança da Blockaid identificaram o bug. Eles compartilharam mais informações no X, dizendo:

“Bug: refreshAccount() promove incondicionalmente uma linha de crédito solicitada para GoodStanding, ignorando a etapa de aprovação do EA e permitindo saque().”

refreshAccount() rotulava contas como ‘boa situação’ sem verificação ou condições reais. O atacante aproveitou essa falha e esvaziou fundos dos pools do tesouro do protocolo.

As perdas foram encontradas em três contratos, de acordo com a análise on-chain da Blockaid. Uma conta perdeu cerca de US$82.300. Uma segunda perdeu cerca de US$17.300 em USDC.e. E uma terceira conta perdeu cerca de US$1.800 em USDC.e. Segundo dados on-chain, toda a exploração foi concluída em uma única transação.

Não houve problema criptográfico. O atacante apenas alterou a máquina de estados do contrato para enganá-lo e fazer com que tratasse uma conta não autorizada como legítima.

A equipe da Huma escreveu no X, “Hoje mais cedo, uma vulnerabilidade nos contratos legados v1 da Huma na Polygon foi explorada por US$101.400 em USDC.” Eles continuaram, “O sistema V2 da Huma na Solana é uma reescrita completa e esse problema não se aplica aos sistemas V2.”

A Huma afirmou que já vinha encerrando as operações do V1 antes do ocorrido. A equipe disse no X, “As equipes já estavam no processo de descontinuar todos os pools legados v1, e agora o V1 foi completamente pausado.”

Após o incidente, a equipe pausou totalmente todos os contratos V1 restantes. A empresa afirmou que os depósitos dos usuários no V2 não foram afetados e que a plataforma mais nova continua operando normalmente.

Contratos vítimas: (Huma V1 BaseCreditPool – US$82.315,57) (Huma V1 BaseCreditPool – US$17.290,76 em USDC.e) (Huma V1 BaseCreditPool – US$1.783,97 em USDC.e)

Atacante:
Contrato de exploração:…

— Blockaid (@blockaid_) 11 de maio de 2026

Polygon teve um dia difícil

De acordo com um relatório recente da Cryptopolitan, a exploração ocorreu no mesmo dia em que a Ink Finance perdeu quase US$140.000 de seu contrato Workspace Treasury Proxy na Polygon. O atacante implantou um contrato que correspondia a um endereço de reclamante na lista de permissões para contornar verificações de elegibilidade.

Em ambos os incidentes, os atacantes encontraram erros de lógica no design do contrato inteligente. As explorações consecutivas na Polygon acontecem após abril de 2026, estabelecendo o recorde do pior mês de perdas em contratos inteligentes.

Se você está lendo isso, você já está à frente. Mantenha-se assim com nossa newsletter.