Un attacco ai contratti intelligenti V1 di Huma Finance su Polygon ha provocato una perdita di 101.400 USDC. L'attacco si è aggiunto a un periodo già difficile per i protocolli DeFi sulla rete.
La vulnerabilità è stata segnalata da Blockaid, società specializzata in sicurezza informatica. L'attaccante ha preso di mira le implementazioni di BaseCreditPool legate alla vecchia infrastruttura V1 di Huma. La perdita totale ammonta a circa 101.400 dollari in USDC e USDC.e, distribuiti su diversi contratti.
Huma Finance ha confermato l'incidente su X, dichiarando: "Nessun fondo degli utenti è a rischio e PST non è interessata". Il team ha affermato che il suo sistema V2, che gira su Solana, è stato sviluppato da zero e non condivide alcun codice con i contratti compromessi.
Il difetto della versione 1 di Huma risiedeva in una funzione
La falla nello smart contract è stata trovata all'interno di una funzione chiamata refreshAccount() . Si tratta di una funzione presente nei contratti V1 BaseCreditPool. I ricercatori di sicurezza di Blockaid hanno identificato il bug. Hanno condiviso ulteriori informazioni su X, affermando:
"Bug: refreshAccount() promuove incondizionatamente una linea di credito richiesta a GoodStanding, bypassando la fase di approvazione dell'EA e abilitando drawdown()."
refreshAccount() etichettava gli account come "in regola" senza alcuna verifica o condizione effettiva. L'attaccante ha sfruttato questa falla e ha sottratto fondi dai pool di tesoreria del protocollo.
Secondo l'analisi on-chain di Blockaid, le perdite sono state riscontrate in tre contratti. Un account ha perso circa 82.300 USDC, un secondo circa 17.300 USDC.e e un terzo circa 1.800 USDC.e. Stando ai dati on-chain, l'intera operazione è stata completata in un'unica transazione.
Non si è trattato di un problema crittografico. L'attaccante ha semplicemente modificato la macchina a stati del contratto per indurla a considerare un account non autorizzato come legittimo.
Il team di Huma ha scritto su X: "Oggi è stata sfruttata una vulnerabilità nei contratti v1 di Huma su Polygon, che ha fruttato 101.400 USDC". Hanno poi aggiunto: "Il sistema v2 di Huma su Solana è stato completamente riscritto e questo problema non riguarda i sistemi v2".
Huma ha affermato di aver già avviato la dismissione delle operazioni V1 prima che si verificasse l'exploit. Il team ha dichiarato su X: "I team erano già in procinto di dismettere tutti i pool V1 legacy e ora hanno sospeso completamente le attività relative a V1".
In seguito all'incidente, il team ha sospeso completamente tutti i contratti V1 rimanenti. L'azienda ha dichiarato che i depositi degli utenti su V2 non sono stati intaccati e che la nuova piattaforma continua a funzionare normalmente.
Contratti delle vittime: https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82.315,57 USDC) https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17.290,76 USDC.e) https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1.783,97 USDC.e)
Attaccante: https://t.co/S0zOa5ClJk
Contratto di sfruttamento:…— Blockaid (@blockaid_) 11 maggio 2026
Polygon ha avuto una brutta giornata
Secondo un recente rapporto di Cryptopolitan , l'attacco è avvenuto lo stesso giorno in cui Ink Finance ha perso quasi 140.000 dollari dal suo contratto Workspace Treasury Proxy su Polygon. L'attaccante ha utilizzato un contratto corrispondente a un indirizzo di un richiedente presente nella lista bianca per aggirare i controlli di idoneità.
In entrambi gli episodi, gli aggressori hanno individuato errori logici nella progettazione degli smart contract. I due attacchi consecutivi a Polygon si sono verificati dopo aprile 2026, stabilendo il record per il peggior mese in termini di perdite di smart contract.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi unirti a loro ?