Устаревшие смарт-контракты DeFi-протокола Huma Finance на базе Polygon были взломаны, в результате чего злоумышленник вывел около $101 400 в стейблкоинах USDC и USDC.e. Инцидент произошёл в тот момент, когда команда уже сворачивала работу пулов ликвидности первой версии, чтобы полностью перейти на новую архитектуру PayFi V2, развёрнутую на Solana.
По данным компании безопасности Blockaid, атака стала возможна из-за логической уязвимости в функции refreshAccount() внутри контрактов BaseCreditPool. Функция безусловно переводила статус аккаунта из «Запрошенная кредитная линия» в «Хорошая репутация», минуя обязательный этап проверки и одобрения. Это позволило атакующему выполнить операцию drawdown() и вывести средства из казначейских пулов в рамках одной транзакции, не прибегая к взлому криптографии или приватных ключей.
Blockaid обнаружила три пострадавших контракта: с первого списано 82 315,57 USDC (адрес 0x3EBc1), со второго — 17 290,76 USDC.e (0x95533), с третьего — 1 783,97 USDC.e (0xe8926). Все средства были украдены одним злоумышленником через скриптованную атаку. Компания Huma подтвердила факт эксплойта в соцсети X, подчеркнув, что инцидент затронул только устаревшие V1-пулы на Polygon, а текущая версия платформы на Solana и токен PST не пострадали.
После атаки оставшиеся контракты V1 были немедленно приостановлены. Представители Huma заявили, что V2-система построена с нуля, архитектурно полностью отделена от скомпрометированного кода и продолжает работу в штатном режиме. Эксплойт совпал по времени с похожей атакой на протокол Ink Finance, потерявший почти $140 000 на Polygon, что подчёркивает растущие риски для устаревших DeFi-решений.
