Une faille logique draine 101 000 $ des anciens contrats Polygon de Huma

Une attaque contre les smart contracts V1 de Huma Finance sur Polygon a entraîné une perte de 101 400 USDC. Cet exploit s'ajoute à une période déjà difficile pour les protocoles DeFi sur le réseau.

L'exploit a été signalé par la société de sécurité web3 Blockaid. L'attaquant a ciblé les déploiements BaseCreditPool liés à l'ancienne infrastructure V1 de Huma. La perte totale s'élève à environ 101 400 USDC et USDC.e à travers différents contrats.

Huma Finance a confirmé l'incident sur X, déclarant : « Aucun fonds utilisateur n'est en danger et PST n'est pas impacté. » L'équipe a indiqué que son système V2, qui fonctionne sur Solana, a été entièrement reconstruit de zéro. Il ne partage aucun code avec les contrats compromis.

La faille V1 de Huma se trouvait dans une seule fonction

La faille du smart contract a été trouvée dans une fonction nommée refreshAccount(). Il s'agit d'une fonction située dans les contrats V1 BaseCreditPool. Les chercheurs en sécurité de Blockaid ont identifié le bug. Ils ont partagé plus d'informations sur X, déclarant :

refreshAccount() étiquetait les comptes en « bonne réputation » sans vérification réelle ni conditions. L'attaquant a exploité cette faille et a vidé les fonds des pools de trésorerie du protocole.

Les pertes ont été constatées dans trois contrats selon l'analyse on-chain de Blockaid. Un compte a perdu environ 82 300 USDC. Un second a perdu environ 17 300 USDC.e. Et un troisième compte a perdu environ 1 800 USDC.e. D'après les données on-chain, l'ensemble de l'exploit a été réalisé en une seule transaction.

Il n'y avait aucun problème cryptographique. L'attaquant a simplement modifié la machine à états du contrat pour lui faire croire qu'un compte non autorisé était légitime.

L'équipe de Huma a écrit sur X : « Plus tôt aujourd'hui, une vulnérabilité dans les anciens contrats v1 de Huma sur Polygon a été exploitée pour 101 400 USDC. » Ils ont poursuivi : « Le système v2 de Huma sur Solana est une réécriture complète et ce problème ne s'applique pas aux systèmes v2. »

Huma a indiqué qu'elle était déjà en train de réduire les opérations V1 avant que l'exploit ne se produise. L'équipe a déclaré sur X : « Les équipes étaient déjà en train de mettre fin à tous les anciens pools v1 et ont complètement suspendu v1 maintenant. »

Après l'incident, l'équipe a entièrement mis en pause tous les contrats V1 restants. La société a indiqué que les dépôts des utilisateurs sur V2 n'avaient pas été touchés et que la nouvelle plateforme continue de fonctionner normalement.

Polygon a eu une mauvaise journée

Selon un récent rapport de Cryptopolitan, l'exploit a eu lieu le même jour qu'Ink Finance a perdu près de 140 000 dollars depuis son contrat Workspace Treasury Proxy sur Polygon. L'attaquant a déployé un contrat correspondant à une adresse sur whitelist pour contourner les vérifications d'éligibilité.

Dans les deux incidents, les attaquants ont trouvé des erreurs de logique dans la conception des smart contracts. Ces exploits consécutifs sur Polygon surviennent après avril 2026, établissant le record du pire mois en termes de pertes liées aux smart contracts.

Si vous lisez ceci, vous avez déjà une longueur d'avance. Gardez-la grâce à notre newsletter.