Huma 的旧版 V1 Polygon 信用池中存在一个逻辑漏洞,攻击者从中窃取了约 101,400 美元的$USDC ,但其基于 Solana 的 PayFi V2 和 PST 代币在结构上仍未受到影响。
Huma Finance披露,其在Polygon平台上的旧版V1合约遭到攻击,导致价值约101,400美元的USDC和USDC.e代币从原本正在清算的旧流动性池中被盗走。该团队强调,其当前PayFi平台上的用户存款不受影响,Huma的PST代币也未受影响,并且其在Solana平台上重新架构的V2系统在结构上与受影响的合约完全独立。
根据 X 上的官方公告,“Huma Finance 在 Polygon 上的 V1 BaseCreditPool 部署遭到攻击……损失金额约为 10.1 万美元。总损失金额:约 10.14 万美元( $USDC + $USDC.e )”。团队确认,此次事件仅限于已弃用的合约,而非正在运行的生产金库。CryptoTimes 援引 Web3 安全公司 Blockaid 的详细报告指出,此次损失源于 V1 BaseCreditPool 合约中名为 refreshAccount() 的函数存在逻辑缺陷,该函数在未进行充分检查的情况下,错误地将账户状态从“已申请信用额度”更改为“良好状态”。
该漏洞使攻击者能够绕过访问控制,并以获准借款人的身份从与国库挂钩的资金池中提取资金。Blockaid 的分析显示,约有 82,315.57 个$USDC从一个合约 (0x3EBc1) 被盗,17,290.76 个$USDC.e从一个合约 (0x95533) 被盗,1,783.97 个$USDC.e从一个合约 (0xe8926) 被盗,所有这些操作都经过精心策划,并在一次交易中完成。该漏洞利用并未涉及破解密码学或私钥,而是通过操纵业务逻辑,使系统“认为”攻击者有权提取资金。
Huma表示,在漏洞发生时,他们已经开始逐步淘汰Polygon上的V1流动性池,目前已全面暂停所有剩余的V1合约,以防止任何进一步的风险。在披露的信息中,团队强调Huma 2.0——一个无需许可、可组合的“实际收益”支付平台,于2025年4月在Solana上线,并得到了Circle和Solana基金会的支持——是一个“完全重建”的版本,采用了不同的架构,与存在漏洞的V1代码没有任何关联。
Huma 2.0 的设计核心是 $PST(PayFi 策略代币),这是一种流动性强、收益可观的流动性提供者代币,代表支付融资策略中的仓位,并且可以与 Solana DeFi 协议(例如 Jupiter、Kamino 和 RateX)集成。相比之下,被利用的 V1 合约是 Polygon 上一个较早的、许可型信用池系统的一部分,该系统现已实际关闭。
对用户而言,关键在于此次约 101,400美元的 USDC损失打击的是旧协议层面的流动性,而非单个钱包,并且目前 Solana 上的存款和 PST 头寸被认为是安全的。尽管如此,此次事件仍然为 DeFi 漏洞利用案例增添了又一例证,这些案例表明,漏洞并非出在签名方案上,而是出在老旧合约中的业务逻辑上——这也再次印证了像 Huma 这样的团队为何要迁移到重新设计的架构,以及用户为何应该像对待未经审计的代码一样,对“旧版”和“即将弃用”的资金池保持同样的谨慎态度。
