Huma Financeは、Inkの情報漏洩と同じ日にPolygonの脆弱性を悪用され、10万1000ドルの損失を被った。

Polygon上のHuma FinanceのV1スマートtracに対する攻撃により、101,400 USDCの損失が発生した。この攻撃は、ネットワーク上の DeFi プロトコルにとって既に困難な時期に拍車をかけるものとなった。.

この脆弱性は、 報告され 被害総額は、 USDC およびUSDC.eコインtrac。

Huma FinanceはX上で発生したこのdent 確認し、「ユーザーの資金にリスクはなく、PSTにも影響はない」と述べた。同社によると、 Solana上で稼働するV2システムはゼロから構築されたもので、侵害されたtracとはコードを共有していないという。.

HumaのV1の欠陥は、ある機能にあった。

スマートtracという関数内で発見されました refreshAccount()。この関数は、V1 BaseCreditPool コントラクト内にありますtracのセキュリティ研究者がdentしました。彼らは を共有し X についてさらに詳しい情報

「バグ：refreshAccount() は、EA の承認手順をスキップして、要求されたクレジットラインを無条件に GoodStanding に昇格させ、drawdown() を有効にします。」

refreshAccount() 関数は、実際の検証や条件なしにアカウントを「良好な状態」と判定していました。攻撃者はこの脆弱性を悪用し、プロトコルの資金プールから資金を不正に引き出しました。

Blockaidのオンチェーン分析によると、損失は3つのtracで確認された。1つのアカウントは約82,300 USDC、2つ目のアカウントは約17,300 USDC.e、3つ目のアカウントは約1,800 USDC.eの損失が発生した。オンチェーンデータによると、この攻撃は1回のトランザクションで完了した。.

暗号化上の問題は一切ありませんでした。攻撃者は単にコントラクトの状態trac図を変更し、不正なアカウントを正当なアカウントとして認識させるように仕向けただけです。.

Humaのチームは と投稿した における脆弱性がtrac上のHumaのv2システムは Solana 完全に書き直されており、この問題はv2システムには適用されません」と付け加えた。

Humaは、今回の脆弱性攻撃が発生する前からV1の運用を段階的に縮小していたと述べた。同社はX上で、「各チームは既にすべての旧型v1プールの廃止作業を進めており、現在はv1を完全に一時停止している」と述べている。

このdent受けて、チームは残りのV1tracをすべて一時停止した。同社によると、V2のユーザー預金は影響を受けておらず、新しいプラットフォームは引き続き正常に稼働しているという。.

被害者のtrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82,315.57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17,290.76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1,783.97 USDC.e)

攻撃者: https://t.co/S0zOa5ClJk
エクスプロイト契約trac…

— Blockaid (@blockaid_) 2026年5月11日

Polygonは散々な一日を過ごした

の最近のレポートによると Cryptopolitanで約14万ドルを失ったのと同じ日に発生したtracを展開しtrac、資格確認を回避した。

いずれのdentでも、攻撃者はスマートtracの設計上の論理ミスを発見した。Polygonに対する2件連続の攻撃は2026年4月以降に発生し、スマートtracの損失件数としては過去最悪の月となった。.