Một lỗi logic trong hệ thống tín dụng Polygon V1 cũ của Huma đã cho phép kẻ tấn công rút khoảng 101.400 USD bằng USDC , nhưng PayFi V2 dựa trên Solana và Token PST của họ vẫn không bị ảnh hưởng về cấu trúc.
Huma Finance đã tiết lộ rằng các hợp đồng V1 cũ của họ trên Polygon đã bị khai thác, với khoảng 101.400 đô la Mỹ (USDC và USDC ) bị rút khỏi các nhóm thanh khoản cũ vốn đang trong quá trình thanh lý. Nhóm nhấn mạnh rằng không có khoản tiền gửi nào của người dùng trên nền tảng PayFi hiện tại bị ảnh hưởng, Token PST của Huma không bị ảnh hưởng và hệ thống V2 được thiết kế lại trên Solana hoàn toàn tách biệt về cấu trúc với các hợp đồng bị ảnh hưởng.
Theo một bài đăng chính thức trên X, “Các triển khai BaseCreditPool V1 của Huma Finance trên Polygon đã bị khai thác… với số tiền khoảng 101.000 đô la. Tổng số tiền bị rút: khoảng 101.400 đô la ( USDC + USDC )”, nhóm này xác nhận rằng sự cố chỉ giới hạn ở các hợp đồng đã lỗi thời chứ không phải các kho tiền đang hoạt động. Một bài viết chi tiết từ công ty bảo mật Web3 Blockaid, được CryptoTimes trích dẫn, cho rằng nguyên nhân gây ra tổn thất là do lỗi logic trong một hàm có tên refreshAccount() bên trong các hợp đồng BaseCreditPool V1, đã thay đổi trạng thái của tài khoản từ “Yêu cầu hạn mức tín dụng” thành “Tình trạng tốt” một cách không chính xác mà không kiểm tra đầy đủ.
Lỗi này cho phép kẻ tấn công vượt qua các biện pháp kiểm soát truy cập và rút tiền từ các quỹ liên kết với Treasury như thể chúng là người vay được chấp thuận. Phân tích của Blockaid cho thấy khoảng 82.315,57 USDC đã bị rút khỏi một hợp đồng (0x3EBc1), 17.290,76 USDC từ một hợp đồng khác (0x95533) và 1.783,97 USDC từ hợp đồng thứ ba (0xe8926), tất cả đều được thực hiện trong một chuỗi phối hợp chặt chẽ chỉ trong một giao dịch duy nhất. Cuộc tấn công không liên quan đến việc phá vỡ mật mã hoặc khóa riêng tư, mà là thao túng logic nghiệp vụ để hệ thống "nghĩ" rằng kẻ tấn công được phép rút tiền.
Huma cho biết họ đã bắt đầu loại bỏ dần các nhóm thanh khoản V1 trên Polygon khi sự cố xảy ra, và hiện đã tạm dừng hoàn toàn tất cả các hợp đồng V1 còn lại để ngăn chặn mọi rủi ro tiếp theo. Trong thông báo của mình, nhóm nhấn mạnh rằng Huma 2.0 — một nền tảng PayFi “lợi nhuận thực” Không cần cho phép, có thể kết hợp, được ra mắt trên Solana vào tháng 4 năm 2025 với sự hỗ trợ từ Circle và Solana Foundation — là “một bản xây dựng lại hoàn chỉnh” với kiến trúc khác và không liên quan đến mã V1 dễ bị tổn thương.
Thiết kế của Huma 2.0 tập trung vào $PST (PayFi Strategy Token ), một Token NHÀ CUNG CẤP THANH KHOẢN có tính thanh khoản cao và sinh lời, đại diện cho các vị thế trong các chiến lược tài chính thanh toán và có thể được tích hợp với các giao thức DeFi Solana như Jupiter, Kamino và RateX. Ngược lại, các hợp đồng V1 bị khai thác là một phần của hệ thống nhóm tín dụng có quyền truy cập hạn chế cũ hơn trên Polygon, hiện đã ngừng hoạt động.
Đối với người dùng, điểm mấu chốt cần lưu ý là khoản lỗ khoảng 101.400 USDC đã ảnh hưởng đến thanh khoản ở cấp độ giao thức cũ chứ không phải ví cá nhân, và các khoản tiền gửi hiện tại cũng như vị thế PST trên Solana được báo cáo là an toàn. Tuy nhiên, sự cố này bổ sung thêm một ví dụ nữa vào danh sách dài các vụ khai thác DeFi mà điểm yếu không phải là các lược đồ chữ ký mà là logic nghiệp vụ trong các hợp đồng cũ – củng cố lý do tại sao các nhóm như Huma đang chuyển sang kiến trúc được thiết kế lại, và tại sao người dùng nên thận trọng với các pool “cũ” và “sắp bị loại bỏ” giống như cách họ thận trọng với mã nguồn chưa được kiểm toán.
