Атака на смарт-tracV1 Huma Finance на платформе Polygon привела к убыткам в размере 101 400 USDC. Эта уязвимость усугубила и без того сложную ситуацию для DeFi протоколов в сети.
Об уязвимости сообщила компания Blockaid, специализирующаяся на веб3-безопасности. Злоумышленник атаковал развертывания BaseCreditPool, связанные со старой инфраструктурой Huma V1. Общий ущерб составил около 101 400 долларов США в USDC и USDC.e по различнымtrac.
Компания Huma Finance подтвердилаdent на платформе X, заявив: «Никакие средства пользователей не находятся под угрозой, и PST не пострадала». Команда сообщила, что ее система V2, работающая на Solana, была разработана с нуля. Она не использует общий код с скомпрометированнымиtrac.
Недостаток версии V1 у Huma заключался в одной из функций
в смарт-контрактеtracобнаружена в функции refreshAccount(). Эта функция находится в контрактах BaseCreditPool версии V1tracИсследователи безопасности Blockaiddentэту ошибку. Они поделились дополнительной информацией на X, заявив:
«Ошибка: функция refreshAccount() безусловно переводит запрошенную кредитную линию в состояние «В хорошем состоянии», минуя этап одобрения EA и активируя функцию drawdown()»
Функция refreshAccount() помечала учетные записи как «находящиеся в хорошем состоянии» без фактической проверки или выполнения каких-либо условий. Злоумышленник воспользовался этой уязвимостью и вывел средства из казначейских пулов протокола.
Согласно анализу блокчейна, проведенному Blockaid, потери были обнаружены в трехtrac. Один аккаунт потерял около 82 300 USDC, второй — около 17 300 USDC, а третий — около 1 800 USDC. По данным блокчейна, вся атака была завершена за одну транзакцию.
Никаких криптографических проблем не было. Злоумышленник просто изменил конечный автоматtrac, чтобы обманом заставить его рассматривать несанкционированную учетную запись как легитимную.
Команда Huma написала на X: «Ранее сегодня была использована уязвимость в устаревших контрактах Huma версии 1tracPolygon, в результате чего было украдено 101 400 USDC». Они продолжили: «Система Huma версии 2 на Solana полностью переписана, и эта проблема не касается систем версии 2».
Компания Huma заявила, что начала сворачивать работу V1 еще до того, как произошла уязвимость. Команда сообщила в X: «Команды уже занимались закрытием всех устаревших пулов v1 и теперь полностью приостановили работу v1»
Послеdentкоманда полностью приостановила все оставшиесяtracV1. Компания заявила, что депозиты пользователей на V2 остались нетронутыми и что новая платформа продолжает работать в обычном режиме.
с жертвамиtrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82 315,57 долларов США)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17 290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1783,97 долларов США.д)
Злоумышленник: https://t.co/S0zOa5ClJk
Эксплойт contract:…— Blockaid (@blockaid_) 11 мая 2026 г.
У компании Polygon был неудачный день
Согласно недавнему сообщению Cryptopolitan, взлом произошел в тот же день, когда компания Ink Finance потеряла почти 140 000 долларов из-за контракта с Workspace Treasury ProxytracPolygon. Злоумышленник развернул контрактtracсоответствующий адресу получателя из белого списка, чтобы обойти проверки на соответствие требованиям.
В обоихdentзлоумышленники обнаружили логические ошибки в проектировании смарт-trac. Эти последовательные атаки на Polygon произошли после апреля 2026 года, установив рекорд по худшим месячным потерям от смарт-trac.
Не просто читайте новости о криптовалютах. Разберитесь в них. Подпишитесь на нашу рассылку. Это бесплатно.