Логическая ошибка истощает $101K из старых контрактов Huma на Polygon

Атака на смарт-контракты V1 Huma Finance на Polygon привела к потере 101 400 долларов США в USDC. Уязвимость усугубила уже и без того сложное время для протоколов DeFi в сети.

Об exploit сообщил веб3-компания по безопасности Blockaid. Злоумышленник нацелился на развертывания BaseCreditPool, связанные со старой инфраструктурой V1 Huma. Общие потери составили около 101 400 долларов США в USDC и USDC.e на различных контрактах.

Huma Finance подтвердили инцидент в X, заявив: «Риски для пользовательских средств отсутствуют, PST не пострадал». Команда отметила, что их система V2, которая работает на Solana, была создана с нуля. Она не делит код с скомпрометированными контрактами.

Недостаток V1 Huma заключался в одной функции

Уязвимость в смарт-контракте обнаружена внутри функции refreshAccount(). Это функция, расположенная внутри контрактов V1 BaseCreditPool. Исследователи безопасности Blockaid выявили ошибку. Они поделились дополнительной информацией в X, сказав:

«Баг: refreshAccount() безусловно переводит запрошенную кредитную линию в статус GoodStanding, обходя этап одобрения EA и позволяя списание средств()».

Функция refreshAccount() помечала аккаунты как «в хорошем состоянии» без фактической проверки или условий. Злоумышленник использовал эту уязвимость и вывел средства из казначейских пулов протокола.

По данным анализа на блокчейне от Blockaid, потери были зафиксированы в трех контрактах. Один аккаунт потерял около 82 300 USDC. Второй — около 17 300 USDC.e. Третий — около 1 800 USDC.e. Согласно данным на блокчейне, весь exploit был завершен за одну транзакцию.

Криптографических проблем не было. Злоумышленник просто изменил состояние машины состояний контракта, чтобы обмануть его и считать неавторизованный аккаунт легитимным.

Команда Huma написала в X: «Ранее сегодня была использована уязвимость в наследственных контрактах Huma v1 на Polygon на сумму 101 400 USDC». Они добавили: «Система Huma v2 на Solana — полностью переписана, и эта проблема не относится к системам v2».

Huma заявили, что еще до инцидента начали сворачивать операции V1. В команде сообщили в X: «Команды уже работали над закрытием всех устаревших пулов v1 и полностью приостановили работу v1».

После инцидента команда полностью остановила все оставшиеся контракты V1. Компания заявила, что депозиты пользователей на V2 остались нетронутыми, и новая платформа продолжает работать в обычном режиме.

Контракты-жертвы: (Huma V1 BaseCreditPool — 82 315,57 USDC) (Huma V1 BaseCreditPool — 17 290,76 USDC.e) (Huma V1 BaseCreditPool — 1 783,97 USDC.e)

Злоумышленник:
Эксплойт-контракт:…

— Blockaid (@blockaid_) 11 мая 2026 г.

Polygon пережил тяжелый день

По данным недавнего отчета Cryptopolitan, этот exploit произошел в тот же день, когда Ink Finance потеряла почти 140 000 долларов из своего Workspace Treasury Proxy на Polygon. Злоумышленник развернул контракт, совпадающий с адресом в белом списке, чтобы обойти проверки на право участия.

В обоих случаях злоумышленники нашли логические ошибки в дизайне смарт-контрактов. Последовательные атаки на Polygon после апреля 2026 года установили рекорд по наибольшим потерям от взломов смарт-контрактов за месяц.

Если вы читаете это, значит, вы уже на шаг впереди. Оставайтесь с нами и подписывайтесь на нашу рассылку.