Huma의 기존 V1 폴리곤(Polygon) 크레딧 풀에 있는 논리적 버그로 인해 공격자가 약 101,400달러 상당의 USDC를 빼돌릴 수 있었지만, 솔라나(Solana) 기반의 PayFi V2 및 PST 토큰은 구조적으로 영향을 받지 않았습니다.
Huma Finance는 폴리곤(Polygon) 에 구축된 기존 V1 계약이 악용되어 약 10만 1400달러 상당의 $USDC 및 $USDC.e가 이미 정리 중이던 기존 유동성 풀에서 유출되었다고 밝혔습니다. Huma Finance는 현재 PayFi 플랫폼에 있는 사용자 예치금은 위험에 처해 있지 않으며, Huma의 PST 토큰은 영향을 받지 않았고, 솔라나(Solana) 플랫폼에 새롭게 구축된 V2 시스템은 이번 공격 대상 계약과 구조적으로 완전히 분리되어 있다고 강조했습니다.
X의 공식 게시물에 따르면, "Huma Finance의 폴리곤(Polygon) 에 배포된 V1 BaseCreditPool이 약 10만 1천 달러 상당의 피해를 입었습니다. 총 피해액은 약 10만 1,400달러( USDC + USDC.e )입니다."라고 밝혔으며, 해당 팀은 이번 사건이 실제 운영 중인 저장소가 아닌 더 이상 사용되지 않는 계약에 국한되었다고 확인했습니다. CryptoTimes가 인용한 Web3 보안 회사 Blockaid의 상세 보고서에 따르면, 이번 손실은 V1 BaseCreditPool 계약 내의 refreshAccount() 함수에 있는 논리적 결함 때문이며, 이 함수는 충분한 검증 절차 없이 계정 상태를 "신용 한도 요청됨"에서 "정상"으로 잘못 변경했습니다.
해당 버그로 인해 공격자는 접근 제어를 우회하고 마치 승인된 차입자인 것처럼 트레져리 연계 풀에서 자금을 인출할 수 있었습니다. Blockaid의 분석에 따르면, 하나의 계약(0x3EBc1)에서 약 82,315.57 USDC , 다른 계약(0x95533)에서 17,290.76 USDC , 그리고 또 다른 계약(0xe8926)에서 1,783.97 USDC가 인출되었으며, 이 모든 행위는 단일 거래 내에서 치밀하게 계획된 일련의 과정을 통해 이루어졌습니다. 이 공격은 암호화 기술이나 개인 키를 해킹하는 것이 아니라, 시스템의 비즈니스 로직을 조작하여 공격자가 자금을 인출할 수 있는 권한이 있다고 "인식"하도록 만든 것입니다.
Huma는 이번 취약점 발생 당시 이미 폴리곤(Polygon) 에서 V1 유동성 풀을 단계적으로 폐지하고 있었으며, 추가적인 위험을 방지하기 위해 남아 있는 모든 V1 계약을 완전히 중단했다고 밝혔습니다. Huma 팀은 공지에서 2025년 4월 서클(Circle) 과 솔라나(Solana) Foundation의 지원을 받아 솔라나(Solana) 에 출시된 비허가형(Permissionless) , 구성 가능한 "실질 수익" PayFi 플랫폼인 Huma 2.0은 완전히 새로운 아키텍처로 재구축되었으며, 취약한 V1 코드와는 관련이 없다고 강조했습니다.
Huma 2.0의 설계는 유동성이 높고 수익률을 제공하는 유동성 공급자(LP) 토큰인 $PST(PayFi 전략 토큰)을 중심으로 이루어지며, 이 토큰은 결제 금융 전략에 대한 포지션을 나타내고 Jupiter, Kamino, RateX와 같은 솔라나(Solana) DeFi 프로토콜과 통합될 수 있습니다. 이와 대조적으로, 악용된 V1 계약은 현재는 사실상 사용이 중단된 폴리곤(Polygon) 의 기존 허가형 신용 풀 시스템의 일부였습니다.
사용자들에게 중요한 점은 약 10만 1400 달러 상당의 USDC 손실이 개인 지갑이 아닌 기존 프로토콜 수준의 유동성에 타격을 입혔다는 것과, 솔라나(Solana) 에 예치된 현재 자금과 PST 포지션은 안전하다는 것입니다. 하지만 이번 사건은 서명 체계가 아닌 오래된 계약의 비즈니스 로직이 취약점이었던 수많은 DeFi 공격 사례 중 하나로, Huma와 같은 팀들이 재설계된 아키텍처로 마이그레이션하는 이유와 사용자들이 "레거시" 및 "곧 사용 중단될" 풀을 감사받지 않은 코드와 마찬가지로 신중하게 다뤄야 하는 이유를 다시 한번 강조합니다.
