逻辑缺陷将$101K 从Huma的旧Polygon合约中掏空

对Polygon上Huma Finance的V1智能合约的攻击导致损失了$101,400 USDC。该漏洞是在已经让网络上DeFi协议处境艰难的背景下发生的。

该漏洞由web3安全公司Blockaid披露。攻击者针对了与Huma较早期V1基础设施相关的BaseCreditPool部署。总损失约为~$101,400，涉及多个合约中的USDC以及USDC.e代币。

Huma Finance在X上确认了该事件，称“没有用户资金面临风险，PST不受影响。”团队表示，其运行在Solana上的V2系统是从零开始构建的。它与遭到入侵的合约不共享任何代码。

Huma的V1缺陷出在一个函数中

智能合约缺陷位于名为refreshAccount()的函数内。它是V1 BaseCreditPool合约中的一个函数。Blockaid安全研究人员发现了该漏洞。他们在X上分享了更多信息，称：

“Bug：refreshAccount()无条件地将请求的信用额度提升至GoodStanding，绕过EA审批步骤，并启用drawdown()。”

refreshAccount()在没有实际验证或条件的情况下，将账户标记为“GoodStanding”。攻击者利用了这一漏洞，从协议的金库资金池中抽走资金

根据Blockaid的链上分析，损失发生在三个合约中。一个账户损失了约~82,300 USDC。第二个账户损失了约~17,300 USDC.e。第三个账户损失了约~1,800 USDC.e。根据链上数据，整个利用过程在一笔交易中完成。

不存在密码学层面的问题。攻击者只是更改了合约的状态机，使其误将未经授权的账户当作合法。

Huma团队在X上写道：“今天早些时候，Polygon上的Huma legacy v1合约漏洞被利用，损失了101,400 USDC。”他们继续说道：“Huma在Solana上的v2系统是一次彻底重写，因此该问题不适用于v2系统。”

Huma表示，漏洞发生之前，它已经在逐步关停V1业务。团队在X上称：“团队已经在进行逐步停用所有遗留的v1资金池，并且现在已完全暂停v1。”

事件发生后，团队已完全暂停所有剩余的V1合约。公司表示，V2上的用户存款未受到影响，较新的平台继续正常运行。

受害合约： (Huma V1 BaseCreditPool – 82,315.57 USDC) (Huma V1 BaseCreditPool – 17,290.76 USDC.e) (Huma V1 BaseCreditPool – 1,783.97 USDC.e)

攻击者：
利用合约：…

— Blockaid (@blockaid_) May 11, 2026

Polygon迎来了一天的“坏运气”

根据Cryptopolitan的最新报告，该漏洞发生在同一天：Ink Finance在Polygon上的Workspace Treasury Proxy合约几乎损失了近$140,000。攻击者部署了一个与白名单声明者地址匹配的合约，以绕过资格检查。

在这两起事件中，攻击者都在智能合约设计逻辑中发现了错误。Polygon上接连发生的漏洞利用，发生在2026年4月之后之后，并创下了智能合约损失最严重的月份纪录。

如果你正在阅读这篇文章，你已经领先了。继续通过我们的通讯保持领先。