Логічна помилка зливає $101K з старими контрактами Polygon Huma

Атака на смарт-контракти V1 Huma Finance на Polygon призвела до втрати 101 400 доларів США в USDC. Зловмисник додав до вже важкого періоду для протоколів DeFi у мережі.

Злом був повідомлений компанією з безпеки web3 Blockaid. Зловмисник націлився на розгортання BaseCreditPool, пов’язані з більш старою інфраструктурою V1 Huma. Загальні втрати склали приблизно 101 400 доларів США в USDC та USDC.e на різних контрактах.

Huma Finance підтвердила інцидент у X, заявивши: «Жодних коштів користувачів під загрозою, PST не постраждав.» Команда повідомила, що їхня система V2, яка працює на Solana, була створена з нуля. Вона не має спільного коду з компрометованими контрактами.

Недолік у V1 Huma був у одній функції

Недолік у смарт-контракті був знайдений у функції під назвою refreshAccount(). Це функція, розташована у контрактах V1 BaseCreditPool. Дослідники безпеки Blockaid виявили цю помилку. Вони поділилися додатковою інформацією у X, сказавши:

«Помилка: refreshAccount() безумовно підвищує кредитний ліній до GoodStanding, ігноруючи етап затвердження EA та дозволяючи зняття коштів().»

Функція refreshAccount() позначала рахунки як «у хорошому стані» без фактичної перевірки або умов. Зловмисник скористався цим недоліком і вивів кошти з казначейських пулів протоколу.

Згідно з аналізом на блокчейні від Blockaid, втрати були зафіксовані у трьох контрактах. Один рахунок втратив близько 82 300 USDC. Другий — близько 17 300 USDC.e. Третій — близько 1 800 USDC.e. За даними на блокчейні, весь злом був завершений у одній транзакції.

Криптографічних проблем не було. Зловмисник просто змінив стан машини контракту, щоб обдурити її і сприйняти неавторизований рахунок як легітимний.

Команда Huma написала у X: «Сьогодні раніше була використана уразливість у застарілих контрактах v1 Huma на Polygon, що призвело до втрати 101 400 USDC.» Вони додали: «Система V2 Huma на Solana — це повністю переписаний код, і ця проблема не стосується систем V2.»

Huma повідомила, що вони вже почали процес згортання операцій V1 до інциденту. Команда заявила у X: «Команди вже займалися закриттям усіх застарілих пулів v1 і тепер повністю зупинили їх роботу.»

Після інциденту команда повністю зупинила всі залишкові контракти V1. Компанія повідомила, що депозити користувачів на V2 залишилися незмінними і нова платформа продовжує працювати у звичайному режимі.

Жертви контрактів: (Huma V1 BaseCreditPool — 82 315,57 USDC) (Huma V1 BaseCreditPool — 17 290,76 USDC.e) (Huma V1 BaseCreditPool — 1 783,97 USDC.e)

Зловмисник:
Контракт з експлойтом:…

— Blockaid (@blockaid_) 11 травня 2026 року

Polygon пережив важкий день

Згідно з недавнім звітом Cryptopolitan, злом стався у той самий день, коли Ink Finance втратила майже 140 000 доларів США з її Workspace Treasury Proxy контракту на Polygon. Зловмисник розгорнув контракт, що відповідає білому списку адреси заявника, щоб обійти перевірки на право участі.

У обох випадках зловмисники виявили логічні помилки у дизайні смарт-контрактів. Ці послідовні зломи на Polygon сталися після квітня 2026 року і встановили рекорд за найгірший місяць втрат у смарт-контрактах.

Якщо ви читаєте це, ви вже на крок попереду. Залишайтеся з нашим інформаційним бюлетенем.