Les meilleures analyses crypto directement dans votre boîte mail.
Huma Finance perd 101 000 $ suite à une faille de sécurité dans Polygon, le même jour que la violation de données d'Ink
- Lestracintelligents V1 hérités de Huma Finance sur Polygon ont été vidés de 101 400 $ en USDC.
- L'entreprise affirme qu'aucun fonds d'utilisateur n'a été mis en danger et que son système V2 plus récent sur Solana n'est pas affecté.
- Cette faille de sécurité a eu lieu le même jour qu'un autre détournement de fonds de 140 000 $ chez Ink Finance.
Une attaque contre lestracintelligents V1 de Huma Finance sur Polygon a entraîné une perte de 101 400 USDC. Cette faille est venue aggraver les difficultés que rencontrent déjà les protocoles DeFi sur le réseau.
La faille a été signalée par la société de sécurité web3 Blockaid. L'attaquant ciblait les déploiements BaseCreditPool liés à l'ancienne infrastructure V1 de Huma. Le préjudice total s'élève à environ 101 400 $ en USDC et USDC.e, répartis sur différentstrac.
Huma Finance a confirmé l'dent sur X, précisant : « Aucun fonds utilisateur n'est menacé et PST n'est pas impacté. » L'équipe a indiqué que son système V2, fonctionnant sous Solana, a été entièrement développé en interne. Il ne partage aucun code avec lestraccompromis.
Le défaut de la version V1 de Huma résidait dans une fonction
(tracfaille dans les contrats intelligents a été découverte dans une fonction nommée ). Cette fonction se trouve dans les contrats V1 BaseCreditPooltracLes chercheurs en sécurité de Blockaid ontdentle bug. Ils ont partagé davantage d'informations à ce sujet, en déclarant :
« Bug : refreshAccount() promeut inconditionnellement une ligne de crédit demandée à l'état de crédit valide, en contournant l'étape d'approbation de l'agent expert et en activant drawdown(). »
La fonction refreshAccount() a attribué la mention « en règle » à des comptes sans vérification ni condition. L'attaquant a exploité cette faille et a détourné des fonds des réserves du protocole.
D'après l'analyse on-chain de Blockaid, les pertes ont été constatées sur troistrac. Un compte a perdu environ 82 300 USDC, un deuxième environ 17 300 USDC.e et un troisième environ 1 800 USDC.e. Selon les données on-chain, l'exploitation de la faille a été réalisée en une seule transaction.
Il n'y avait aucun problème cryptographique. L'attaquant a simplement modifié la machine à états dutracpour la tromper et lui faire croire qu'un compte non autorisé était légitime.
L'équipe de Huma a écrit v1 de Humatracsur Polygon a été exploitée pour un montant de 101 400 USDC. » Ils ont ajouté : « Le système v2 de Huma sur Solana a été entièrement réécrit et ce problème ne concerne pas les systèmes v2. »
Huma a indiqué avoir déjà entamé la réduction des opérations V1 avant que l'incident ne se produise. L'équipe a déclaré sur X : « Les équipes étaient déjà en train de mettre hors service tous les anciens pools V1 et ont désormais complètement suspendu les opérations V1. »
Suite à cetdent, l'équipe a immédiatement suspendu tous lestracV1 restants. L'entreprise a précisé que les dépôts des utilisateurs sur V2 étaient intacts et que la nouvelle plateforme continuait de fonctionner normalement.
de victimestrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82 315,57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17 290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1 783,97 USDC.e)
Attaquant : https://t.co/S0zOa5ClJk
Exploitationtrac:…— Blockaid (@blockaid_) 11 mai 2026
Polygon a passé une mauvaise journée
D'après un récent rapport de Cryptopolitan, l'attaque a eu lieu le jour même où Ink Finance a perdu près de 140 000 $ via son contrat Workspace Treasury ProxytracPolygon. L'attaquant a utilisé un contrattracà une adresse de demandeur autorisée afin de contourner les contrôles d'éligibilité.
Dans les deuxdent, les attaquants ont exploité des failles de logique dans la conception destracintelligents. Ces attaques successives contre Polygon surviennent après avril 2026, qui constitue le pire mois jamais enregistré en termes de pertes liées auxtracintelligents.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
FAQ
Quel montant a été volé lors de l'exploitation de la faille Huma Finance ?
Environ 101 400 $ en USDC et USDC.e ont été retirés destracobsolètes V1 BaseCreditPool de Huma Finance sur Polygon le 11 mai 2026.
Les fonds des utilisateurs de Huma Finance sont-ils en sécurité ?
Huma Finance a déclaré qu'aucun fonds utilisateur n'est menacé. Son système V2 actuel sur Solana a été entièrement réécrit et la vulnérabilité de la version 1 ne le concerne pas.
Quelle est la cause de cette vulnérabilité ?
Une faille logique dans la fonction `refreshAccount()` des contrats V1 BaseCreditPool a entraîné une misetracjour incorrecte du statut d'un compte sans validation adéquate. Cela a permis à l'attaquant de contourner les contrôles d'autorisation et de retirer des fonds.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)