Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Huma Finance verliert 101.000 US-Dollar durch Polygon-Sicherheitslücke am selben Tag wie die Ink-Sicherheitslücke
- Die Legacy-Smart-tracder V1-Serie von Huma Finance auf Polygon wurden um 101.400 US-Dollar in USDC reduziert.
- Das Unternehmen versichert, dass keine Kundengelder gefährdet waren und das neuere V2-System auf Solana nicht betroffen ist.
- Der Exploit ereignete sich am selben Tag wie ein separater Schaden in Höhe von 140.000 US-Dollar bei Ink Finance.
Ein Angriff auf die V1 Smarttracvon Huma Finance auf Polygon führte zu einem Verlust von 101.400 USDC. Dieser Vorfall verschärfte die ohnehin schon schwierige Lage der DeFi Protokolle im Netzwerk.
Die Sicherheitslücke wurde gemeldet . Der Angreifer zielte auf BaseCreditPool-Installationen ab, die mit der älteren V1-Infrastruktur von Huma verbunden waren. Der Gesamtschaden belief sich auf rund 101.400 US-Dollar in USDC- und USDC.e-Coins aus verschiedenentrac.
Huma Finance bestätigte dendent auf X und erklärte: „Es sind keine Kundengelder gefährdet und PST ist nicht betroffen.“ Das Team gab an, dass sein V2-System, das auf Solanaläuft, von Grund auf neu entwickelt wurde. Es weist keinerlei Code-Übereinstimmungen mit den kompromittiertentracauf.
Der Fehler der Huma V1-Version lag in einer Funktion
im Smart Contracttracentdeckt refreshAccount()`. Diese Funktion befindet sich innerhalb der V1 BaseCreditPool-VerträgetracDie Sicherheitsforscher von Blockaiddentden Fehler. Sie teilten weitere Informationen zu X mit:
„Fehler: refreshAccount() stuft eine angeforderte Kreditlinie bedingungslos auf „Guter Status“ hoch, umgeht den Genehmigungsschritt des EA und ermöglicht drawdown().“
Die Funktion `refreshAccount()` kennzeichnete Konten ohne tatsächliche Überprüfung oder Einhaltung von Bedingungen als „gut geführt“. Der Angreifer nutzte diese Schwachstelle aus und entnahm dem Protokoll Gelder aus seinen Finanzpools.
Die Verluste wurden laut Blockaids On-Chain-Analyse in dreitracfestgestellt. Ein Konto verlor ca. 82.300 USDC, ein zweites ca. 17.300 USDC.e und ein drittes ca. 1.800 USDC.e. Den On-Chain-Daten zufolge wurde der gesamte Exploit in einer einzigen Transaktion ausgeführt.
Es gab kein kryptografisches Problem. Der Angreifer veränderte lediglich dentracdes Vertrags, um ihn dazu zu bringen, ein nicht autorisiertes Konto als legitim zu behandeln.
Das Huma-Team schrieb auf X: „Heute wurde eine Sicherheitslücke in Humas älteren v1-VerträgentracPolygon ausgenutzt, wodurch 101.400 USDC erbeutet wurden.“ Weiter hieß es: „Humas v2-System auf Solana ist eine komplette Neuentwicklung, daher betrifft dieses Problem v2-Systeme nicht.“
Huma gab an, den Betrieb von V1 bereits vor dem Exploit schrittweise eingestellt zu haben. Das Team erklärte auf X: „Die Teams waren bereits dabei, alle alten V1-Pools abzuschalten und haben V1 nun vollständig pausiert.“
Nach demdentwurden alle verbleibenden V1-tracvom Team vollständig ausgesetzt. Das Unternehmen teilte mit, dass die Einlagen der Nutzer auf V2 unberührt blieben und die neuere Plattform weiterhin normal funktioniere.
Opferverträgetrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82.315,57 USDC)https://t.co/EnPLFdvOM8 BaseCreditPool – 17.290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1.783,97 USDC.e)
Angreifer: https://t.co/S0zOa5ClJk
Exploit-trac:…— Blockaid (@blockaid_) 11. Mai 2026
Polygon hatte einen schlechten Tag
Laut einem aktuellen Bericht von Cryptopolitanereignete sich der Angriff am selben Tag, an dem Ink Finance durch seinen Workspace Treasury Proxy-Vertrag auf Polygon fast 140.000 US-Dollar verlortracDer Angreifer nutzte einen Vertragtracder mit einer auf der Whitelist stehenden Empfängeradresse übereinstimmte, um die Berechtigungsprüfungen zu umgehen.
In beidendententdeckten die Angreifer Logikfehler im Smart-trac-Design. Die beiden aufeinanderfolgenden Angriffe auf Polygon erfolgten nach April 2026 und markierten damit den schlimmsten Monat in Bezug auf Verluste durch Smarttrac.
Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.
Häufig gestellte Fragen
Wie viel Geld wurde beim Huma Finance-Sicherheitsvorfall gestohlen?
Rund 101.400 US-Dollar in USDC und USDC.e wurden am 11. Mai 2026 aus den veralteten V1 BaseCreditPool-tracvon Huma Finance auf Polygon abgezogen.
Sind die Kundengelder von Huma Finance sicher?
Huma Finance erklärte, dass keine Kundengelder gefährdet seien. Das aktuelle V2-System auf Solana sei eine komplette Neuentwicklung und die Sicherheitslücke in V1 betreffe es nicht.
Was hat die Sicherheitslücke verursacht?
Ein Logikfehler in der Funktion `refreshAccount()` der V1 BaseCreditPool-tracführte zu einer fehlerhaften Aktualisierung des Kontostatus ohne ausreichende Validierung. Dadurch konnte der Angreifer Autorisierungsprüfungen umgehen und Gelder abheben.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)