Falha de lógica esgota $101K dos antigos contratos Polygon de Huma

Um ataque aos contratos inteligentes V1 da Huma Finance na Polygon resultou numa perda de 101.400 USDC. A exploração agravou um período já difícil para os protocolos DeFi na rede.

A exploração foi reportada pela empresa de segurança web3 Blockaid. O atacante visou implementações do BaseCreditPool relacionadas à infraestrutura V1 mais antiga da Huma. A perda total foi de aproximadamente 101.400 dólares em USDC e moedas USDC.e em vários contratos.

A Huma Finance confirmou o incidente no X, dizendo “Nenhum fundo de utilizador em risco e o PST não foi afetado.” A equipa afirmou que o seu sistema V2, que funciona na Solana, foi construído do zero. Não partilha código com os contratos comprometidos.

A falha do V1 da Huma estava numa função

A falha no contrato inteligente foi encontrada numa função chamada refreshAccount(). É uma função localizada dentro dos contratos V1 do BaseCreditPool. Os investigadores de segurança da Blockaid identificaram o erro. Eles partilharam mais informações no X, dizendo:

“Erro: refreshAccount() promove incondicionalmente uma linha de crédito solicitada a GoodStanding, ignorando o passo de aprovação EA e permitindo o retirada().”

A função refreshAccount() marcava contas como ‘bom estado’ sem verificação ou condições reais. O atacante aproveitou esta falha e esvaziou fundos dos pools do tesouro do protocolo.

As perdas foram encontradas em três contratos, de acordo com a análise on-chain da Blockaid. Uma conta perdeu cerca de 82.300 USDC. Uma segunda perdeu cerca de 17.300 USDC.e. E uma terceira conta perdeu cerca de 1.800 USDC.e. Segundo dados on-chain, toda a exploração foi concluída numa única transação.

Não houve problema criptográfico. O atacante apenas alterou o estado do contrato para enganar o sistema e fazer com que tratasse uma conta não autorizada como legítima.

A equipa da Huma escreveu no X, “Mais cedo hoje, uma vulnerabilidade nos contratos legados v1 da Huma na Polygon foi explorada por 101.400 USDC.” Continuaram, “O sistema V2 da Huma na Solana é uma reescrita completa e este problema não se aplica aos sistemas V2.”

A Huma afirmou que já tinha começado a encerrar as operações do V1 antes do incidente. A equipa disse no X, “As equipas já estavam no processo de descontinuar todos os pools legados v1, e o V1 foi completamente pausado agora.”

Após o incidente, a equipa pausou totalmente todos os contratos V1 restantes. A empresa afirmou que os depósitos dos utilizadores no V2 não foram afetados e que a plataforma mais recente continua a operar normalmente.

Contratos vítimas: (Huma V1 BaseCreditPool – 82.315,57 USDC) (Huma V1 BaseCreditPool – 17.290,76 USDC.e) (Huma V1 BaseCreditPool – 1.783,97 USDC.e)

Atacante:
Contrato de exploração:…

— Blockaid (@blockaid_) 11 de maio de 2026

A Polygon teve um dia difícil

De acordo com um relatório recente da Cryptopolitan, a exploração ocorreu no mesmo dia em que a Ink Finance perdeu quase 140.000 dólares do seu contrato Workspace Treasury Proxy na Polygon. O atacante implementou um contrato que correspondia a um endereço de reclamante na lista branca para contornar as verificações de elegibilidade.

Em ambos os incidentes, os atacantes encontraram erros de lógica no design do contrato inteligente. As explorações consecutivas na Polygon aconteceram após abril de 2026, estabelecendo o recorde para o pior mês de perdas em contratos inteligentes.

Se estás a ler isto, já estás à frente. Mantém-te assim com a nossa newsletter.