Huma Finance는 Ink 데이터 유출 사고와 같은 날 Polygon 취약점 공격으로 10만 1천 달러의 손실을 입었습니다

폴리곤 플랫폼에서 휴마 파이낸스의 V1 스마트trac에 대한 공격으로 101,400 USDC 상당의 손실이 발생했습니다. 이 공격은 네트워크 내 DeFi 프로토콜들이 이미 겪고 있는 어려움에 더욱 악영향을 미쳤습니다.

해당 취약점은 보고 101,400달러에 달합니다 다양한 계약에서 발생한 총 손실액은 USDC 및 USDC.e 코인으로trac.

Huma Finance는 X 플랫폼에서dent 을 확인하며 "사용자 자금은 위험에 처해 있지 않으며 PST(주정부trac세)에도 영향이 없다"고 밝혔습니다. 또한, Solana플랫폼에서 실행되는 자사의 V2 시스템은 처음부터 새로 개발되었으며, 문제가 된 계약 시스템과는 코드를 공유하지 않는다고 덧붙였습니다.

Huma V1의 결함은 한 가지 기능에 있었습니다

스마트 계약trac라는 함수 내에서 발견되었습니다 refreshAccount(). 이 함수는 V1 BaseCreditPool 계약 내에 있습니다tracBlockaid 보안 연구원들이dent이 버그를 발견 공유했습니다 , X에 대한 추가 정보를 다음과 같이

"버그: refreshAccount() 함수가 요청된 신용 한도를 무조건 정상 상태로 승격시켜 EA 승인 단계를 건너뛰고 drawdown() 함수를 활성화합니다."

refreshAccount() 함수는 실제 검증이나 조건 없이 계정에 '정상 상태'라는 레이블을 지정했습니다. 공격자는 이 취약점을 악용하여 프로토콜의 자금 풀에서 자금을 빼돌렸습니다.

Blockaid의 온체인 분석에 따르면 손실은 세 건의trac에서 발생했습니다. 한 계정은 약 82,300 USDC를, 다른 계정은 약 17,300 USDC를, 그리고 또 다른 계정은 약 1,800 USDC를 잃었습니다. 온체인 데이터에 따르면 전체 공격은 단일 거래에서 완료되었습니다.

암호화 문제는 없었습니다. 공격자는trac의 상태 머신을 변경하여 승인되지 않은 계정을 합법적인 계정으로 인식하도록 속였습니다.

Huma 팀은 라고 게시했습니다 X에 "오늘 Polygon에 있는 Huma의 기존 v1 계약에서 발견된 취약점을trac덧붙였습니다. Solana 완전히 새로 작성되었으며, 이 문제는 v2 시스템에는 해당되지 않습니다."라고

Huma는 이번 공격이 발생하기 전에 이미 V1 운영을 단계적으로 축소하고 있었다고 밝혔습니다. Huma 팀은 X에서 "팀은 이미 모든 기존 v1 풀을 단계적으로 종료하는 작업을 진행 중이었으며, 현재 v1 운영을 완전히 중단했습니다."라고 말했습니다

이번dent이후, 해당 팀은 남아있는 모든 V1trac을 완전히 중단했습니다. 회사 측은 V2 플랫폼에 저장된 사용자 예치금은 그대로이며, 새로운 플랫폼은 정상적으로 운영되고 있다고 밝혔습니다.

피해자trac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82,315.57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17,290.76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1,783.97 USDC.e)

공격자: https://t.co/S0zOa5ClJk
익스플로잇 계약trac…

— 블록에이드 (@blockaid_) 2026년 5월 11일

폴리곤은 오늘 운이 안 좋았어

보도에 따르면 Cryptopolitan에서 약 14만 달러의 손실을 입은 바로 그날 발생했습니다trac. 공격자는trac와 일치하는 계약을 배포했습니다.

두dent모두에서 공격자들은 스마트trac설계에서 논리적 오류를 발견했습니다. 폴리곤에 대한 연이은 공격은 2026년 4월 이후 발생했으며, 이 4월은 스마트trac손실이 가장 많았던 달로 기록되었습니다.