A Huma Finance perdeu US$ 101 mil em uma falha de segurança da Polygon no mesmo dia em que sofreu uma violação de segurança da Ink

Um ataque aostracinteligentes V1 da Huma Finance na Polygon resultou em uma perda de US$ 101.400 em USDC. A exploração agravou o que já vinha sendo um período difícil para os protocolos DeFi na rede.

A vulnerabilidade foi relatada pela empresa de segurança web3 Blockaid. O atacante teve como alvo implementações do BaseCreditPool relacionadas à infraestrutura V1 mais antiga da Huma. O prejuízo total foi de aproximadamente US$ 101.400 em USDC e USDC.e em diversostrac.

A Huma Finance confirmou odent no servidor X, afirmando: "Nenhum fundo de usuário está em risco e o PST não foi afetado". A equipe disse que seu sistema V2, que roda na Solana, foi construído do zero. Ele não compartilha nenhum código com ostraccomprometidos.

A falha da versão 1 de Huma estava em uma função

inteligentetracfalha no refreshAccount(). Essa função está localizada nos contratos V1 BaseCreditPooltracOs pesquisadores de segurança da Blockaid identificaramdentbug. Eles compartilharam mais informações sobre o X, dizendo:

“Bug: refreshAccount() promove incondicionalmente uma linha de crédito solicitada para GoodStanding, ignorando a etapa de aprovação do EA e permitindo o drawdown().”

O método refreshAccount() rotulava contas como "em situação regular" sem verificação ou condições reais. O atacante explorou essa falha e drenou fundos dos cofres do protocolo.

As perdas foram encontradas em trêstrac, de acordo com a análise on-chain da Blockaid. Uma conta perdeu aproximadamente 82.300 USDC. Uma segunda perdeu aproximadamente 17.300 USDC.e. E uma terceira conta perdeu aproximadamente 1.800 USDC.e. Segundo os dados on-chain, toda a exploração foi concluída em uma única transação.

Não havia nenhum problema criptográfico. O atacante simplesmente alterou a máquina de estados dotracpara enganá-lo e fazê-lo tratar uma conta não autorizada como legítima.

A equipe da Huma escreveu no X: "Hoje cedo, uma vulnerabilidade nos contratos legados v1 da HumatracPolygon foi explorada, resultando em um prejuízo de 101.400 USDC." Eles continuaram: "O sistema v2 da Huma na Solana foi completamente reescrito e esse problema não se aplica aos sistemas v2."

A Huma afirmou que já estava encerrando as operações da V1 antes da exploração da vulnerabilidade. A equipe declarou no fórum X: "As equipes já estavam em processo de desativação de todos os pools legados da V1 e agora pausaram completamente a V1."

Após odent, a equipe suspendeu completamente todos ostracrestantes da versão 1. A empresa afirmou que os depósitos dos usuários na versão 2 não foram afetados e que a nova plataforma continua operando normalmente.

da vítimatrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82.315,57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17.290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1.783,97 USDC.e)

Atacante: https://t.co/S0zOa5ClJk
de exploraçãotrac:…

— Blockaid (@blockaid_) 11 de maio de 2026

A Polygon teve um dia ruim

De acordo com um relatório recente da Cryptopolitan, a exploração ocorreu no mesmo dia em que a Ink Finance perdeu quase US$ 140.000 com seu contrato Workspace Treasury ProxytracPolygon. O atacante implantou um contratotraccorrespondia a um endereço de reclamante na lista de permissões para burlar as verificações de elegibilidade.

Em ambos osdent, os atacantes encontraram erros lógicos no design dostracinteligentes. As explorações consecutivas no Polygon ocorreram depois de abril de 2026, estabelecendo o recorde para o pior mês em termos de perdas detracinteligentes.