Un fallo lógico drena $101K de los antiguos contratos Polygon de Huma

Un ataque a los smart contracts V1 de Huma Finance en Polygon resultó en una pérdida de $101,400 USDC. El exploit se sumó a lo que ya ha sido un momento difícil para los protocolos DeFi en la red.

El exploit fue reportado por la firma de seguridad web3 Blockaid. El atacante apuntó a los despliegues de BaseCreditPool relacionados con la antigua infraestructura V1 de Huma. La pérdida total fue de ~$101,400 en monedas USDC y USDC.e en varios contratos.

Huma Finance confirmó el incidente en X, diciendo "Ningún fondo de usuario está en riesgo y PST no se ve afectado." El equipo dijo que su sistema V2, que funciona en Solana, fue construido desde cero. No comparte ningún código con los contratos comprometidos.

El fallo V1 de Huma estaba en una función

El fallo del smart contract se encontró dentro de una función llamada refreshAccount(). Es una función ubicada dentro de los contratos V1 BaseCreditPool. Los investigadores de seguridad de Blockaid identificaron el error. Compartieron más información en X, diciendo:

refreshAccount() etiquetaba cuentas con 'buen estado' sin verificación adicional ni condiciones reales. El atacante aprovechó este fallo y drenó fondos de los pools del tesoro del protocolo.

Las pérdidas se encontraron en tres contratos según el análisis on-chain de Blockaid. Una cuenta perdió ~82,300 USDC. Una segunda perdió ~17,300 USDC.e. Y una tercera cuenta perdió ~1,800 USDC.e. Según los datos on-chain, todo el exploit se completó en una sola transacción.

No hubo ningún problema criptográfico. El atacante simplemente cambió la máquina de estados del contrato para engañarlo y hacer que tratara una cuenta no autorizada como legítima.

El equipo de Huma escribió en X, "Hoy, a primera hora, una vulnerabilidad en los contratos legacy v1 de Huma en Polygon fue explotada por 101,400 USDC." Continuaron, "El sistema v2 de Huma en Solana es una reescritura completa y este problema no aplica a los sistemas v2."

Huma dijo que ya estaba reduciendo las operaciones de V1 antes de que ocurriera el exploit. El equipo dijo en X, "Los equipos ya estaban en proceso de dar de baja todos los pools legacy v1, y han pausado v1 por completo ahora."

Tras el incidente, el equipo pausó completamente todos los contratos V1 restantes. La empresa dijo que los depósitos de usuarios en V2 no fueron afectados y que la plataforma más nueva continúa operando con normalidad.

Polygon tuvo un mal día

Según un informe reciente de Cryptopolitan, el exploit ocurrió el mismo día que Ink Finance perdió casi $140,000 de su contrato Workspace Treasury Proxy en Polygon. El atacante desplegó un contrato que coincidía con una dirección en lista blanca de reclamante para eludir las verificaciones de elegibilidad.

En ambos incidentes, los atacantes encontraron errores de lógica en el diseño del smart contract. Los exploits consecutivos en Polygon se producen después de abril de 2026, estableciendo el récord del peor mes en pérdidas de smart contracts.

Si estás leyendo esto, ya llevas ventaja. Mantente así con nuestro boletín.