Huma Finance perde 101.000 dollari a causa di una falla in Polygon, nello stesso giorno della violazione dei dati di Ink

Un attacco aitracintelligenti V1 di Huma Finance su Polygon ha provocato una perdita di 101.400 USDC. L'attacco si è aggiunto a un periodo già difficile per i protocolli DeFi sulla rete.

La vulnerabilità è stata segnalata da Blockaid, società specializzata in sicurezza informatica per il web3. L'attaccante ha preso di mira le implementazioni di BaseCreditPool legate alla vecchia infrastruttura V1 di Huma. La perdita totale ammonta a circa 101.400 dollari in USDC e USDC.e, distribuiti su diversitrac.

Huma Finance ha confermato l'dent su X, dichiarando: "Nessun fondo utente è a rischio e PST non è interessata". Il team ha affermato che il suo sistema V2, che gira su Solana, è stato costruito da zero e non condivide alcun codice con itraccompromessi.

Il difetto della versione 1 di Huma risiedeva in una funzione

intelligentetracè stata trovata all'interno di una funzione chiamata refreshAccount()V1 BaseCreditPooltrac. I ricercatori di sicurezza di Blockaid hannodentil bug. Hanno condiviso ulteriori informazioni su X, affermando:

"Bug: refreshAccount() promuove incondizionatamente una linea di credito richiesta a GoodStanding, bypassando la fase di approvazione dell'EA e abilitando drawdown()."

La funzione refreshAccount() etichettava gli account come "in regola" senza alcuna verifica o condizione effettiva. L'attaccante ha sfruttato questa falla e ha sottratto fondi dai pool di tesoreria del protocollo.

Secondo l'analisi on-chain di Blockaid, le perdite sono state rilevate in tretrac. Un account ha perso circa 82.300 USDC. Un secondo ha perso circa 17.300 USDC.e. E un terzo account ha perso circa 1.800 USDC.e. Secondo i dati on-chain, l'intera operazione è stata completata in un'unica transazione.

Non c'era alcun problema crittografico. L'attaccante ha semplicemente modificato la macchina a stati deltracper ingannarla e farle considerare un account non autorizzato come legittimo.

Il team di Huma ha scritto su X: "Oggitracè stata sfruttata Solana è stato completamente riscritto e questo problema non riguarda i sistemi v2".

Huma ha affermato di aver già avviato la dismissione delle operazioni V1 prima che si verificasse l'exploit. Il team ha dichiarato su X: "I team erano già in procinto di dismettere tutti i pool V1 legacy e ora hanno sospeso completamente le attività relative a V1"

In seguitodent, il team ha sospeso completamente tutti itracV1 rimanenti. L'azienda ha dichiarato che i depositi degli utenti su V2 non sono stati intaccati e che la nuova piattaforma continua a funzionare normalmente.

delle vittimetrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82.315,57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17.290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1.783,97 USDC.e)

Attaccante: https://t.co/S0zOa5ClJk
Contratto di exploittrac…

— Blockaid (@blockaid_) 11 maggio 2026

Polygon ha avuto una brutta giornata

Secondo un recente rapporto di Cryptopolitan, l'attacco è avvenuto lo stesso giorno in cui Ink Finance ha perso quasi 140.000 dollari a causa del suotracsu Polygon. L'attaccante ha utilizzato un contrattotraca un indirizzo di un richiedente presente nella lista bianca per aggirare i controlli di idoneità.

In entrambi glident, gli aggressori hanno trovato errori logici nella progettazione degli smarttrac. I due attacchi consecutivi a Polygon si sono verificati dopo aprile 2026, stabilendo il record per il peggior mese in termini di perdite di smarttrac.