Um bug lógico no pool de crédito legado V1 Polygon de Huma permitiu que os invasores exfiltrassem aproximadamente US$ 101.400 em USDC, enquanto os tokens PayFi V2 e PST baseados em Solana não foram estruturalmente afetados.
resumo
De acordo com Huma, o contrato V1 BaseCreditPool obsoleto no Polygon foi explorado por aproximadamente US$ 101.400 em USDC e USDC.e após a rescisão do contrato, enquanto o PayFi V2 ativo em Solana permaneceu intocado. O Blockaid rastreia perdas devido a falhas na lógica refrescanteAccount() que levou os mutuários para “GoodStanding” sem verificações adequadas, permitindo que os invasores retirassem pools vinculados ao Tesouro em uma única transação com script. Todos os contratos V1 restantes no Polygon estão atualmente suspensos, e Huma enfatiza que os depósitos atuais e as posições PST na arquitetura PayFi reconstruída sem permissão de Solana são separados do código V1 vulnerável.
A Huma Finance revelou que um contrato herdado V1 no Polygon foi abusado, drenando aproximadamente US$ 101.400 em USDC e USDC.e de um antigo pool de liquidez que já estava em processo de redução. A equipe enfatizou que os depósitos dos usuários na plataforma PayFi atual não estão em risco, os tokens PST de Huma não são afetados e o sistema V2 redesenhado em Solana é estruturalmente separado dos contratos afetados.
De acordo com a postagem oficial de X, “A implantação V1 BaseCreditPool da Huma Finance no Polygon foi explorada… ~$101.000. Exfiltração total: ~101,4.000 (USDC + USDC.e)”, e a equipe reconhece que o incidente foi limitado a um contrato obsoleto e não a um cofre de produção real. Um artigo detalhado da empresa de segurança Web3 Blockaid citado por CryptoTimes atribui a perda a uma falha lógica em uma função chamada RefreshAccount() no contrato V1 BaseCreditPool, que alterou incorretamente o status da conta de “Linha de crédito solicitada” para “GoodStanding” sem verificações adequadas.
O bug permitiu que os invasores contornassem os controles de acesso e retirassem fundos de pools vinculados ao Tesouro como se fossem mutuários autorizados. A análise do Blockaid mostra aproximadamente 82.315,57 USDC.e de um contrato (0x3EBc1), 17.290,76 USDC.e de outro contrato (0x95533) e 1.783,97 USDC.e do terceiro contrato (0xe8926). estão vazando, tudo em uma sequência bem coordenada e executada em uma única transação. A exploração não envolveu a quebra de criptografia ou chaves privadas, mas sim a manipulação da lógica de negócios para fazer o sistema “pensar” que o invasor estava autorizado a sacar fundos.
Huma disse que já havia eliminado o pool de liquidez V1 no Polygon no momento em que a exploração ocorreu e agora suspendeu permanentemente todos os contratos V1 restantes para evitar riscos adicionais. Em sua divulgação, a equipe enfatizou que o Huma 2.0, uma plataforma PayFi de “rendimento real” configurável e sem permissão, lançada em Solana em abril de 2025 com o apoio da Circle e da Fundação Solana, é uma “reconstrução completa” com uma arquitetura diferente e não está conectada ao código V1 vulnerável.
O design do Huma 2.0 é centrado em $PST (PayFi Strategy Token). $PST (PayFi Strategy Token) é um token LP com rendimento líquido que representa posições em estratégias de financiamento de pagamentos e pode ser integrado com protocolos Solana DeFi, como Júpiter, Kamino e RateX. Em contraste, o contrato V1 explorado fazia parte do antigo sistema de pool de crédito autorizado no Polygon, que agora está efetivamente obsoleto.
É importante ressaltar que a perda de aproximadamente US$ 101.400 USDC atingiu a liquidez em nível de protocolo tradicional, em vez de carteiras individuais, e os depósitos atuais e posições PST de Solana são considerados seguros. Ainda assim, este incidente acrescenta outro exemplo à longa lista de explorações de DeFi em que a fraqueza não estava no esquema de assinatura, mas na lógica comercial do antigo contrato. Isso confirma por que equipes como Huma estão migrando para arquiteturas redesenhadas e por que os usuários devem tratar pools “herdados” ou “em breve obsoletos” com o mesmo cuidado que o código não auditado.
