资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Huma V1 Polygon 信用池逻辑漏洞导致约101,400美元资产被提取,其Solana平台V2版本及PST代币未受影响
Huma Finance 披露,其已逐步停用的 Polygon V1 BaseCreditPool 合约在关闭过程中被利用,导致约 101,400 美元的 USDC 与 USDC.e 从旧流动性池中被提取。团队强调,当前 PayFi 平台上的用户存款并未面临风险,PST 代币未受影响,且其在 Solana 上重构的 V2 系统在架构上与受影响的合约完全分离。
据官方公告,此次事件仅限于已弃用的合约,而非正在运行的资金池。根据安全公司的分析,损失源于 V1 BaseCreditPool 合约中名为 refreshAccount() 的函数存在逻辑缺陷:该函数在没有充分检查的情况下,错误地将账户状态从“请求信用额度”更改为“良好状态”。这使得攻击者能够绕过访问控制,以获准借款人的身份从与资金库关联的池中提取资金。
分析显示,攻击者通过一笔高度编排的交易,依次从三个合约中提取了约 82,315.57 USDC、17,290.76 USDC.e 和 1,783.97 USDC.e。此次利用并未涉及密码学破解或私钥泄露,而是通过操纵业务逻辑,使系统误认为攻击者有权提取资金。
Huma 表示,漏洞发生时公司已在逐步淘汰 Polygon 上的 V1 流动性池,目前所有剩余的 V1 合约均已完全暂停,以杜绝进一步风险。团队在公告中特别指出,Huma 2.0——一个于 2025 年 4 月在 Solana 上推出的无需许可、可组合的“真实收益”支付金融平台——是架构不同的完全重构系统,与存在漏洞的 V1 代码无关。
Huma 2.0 的设计核心是 $PST,这是一种具有流动性的生息流动性提供代币,代表支付融资策略中的头寸,并可与 Jupiter、Kamino 及 RateX 等 Solana DeFi 协议集成。而被利用的 V1 合约属于 Polygon 上旧有的许可型信用池系统,现已被淘汰。
对用户而言,关键结论是:约 101,400 美元的 USDC 损失影响的是协议层的遗留流动性,而非个人钱包;当前在 Solana 上的存款及 PST 头寸据报告是安全的。尽管如此,该事件再次为一系列 DeFi 安全事件增添了案例,其弱点往往不是签名方案,而是老化合约中的业务逻辑。这进一步说明了为何像 Huma 这样的团队正在迁移至重构的架构,也提醒用户应以对待未经审计代码的同样谨慎态度,来对待“遗留”及“即将停用”的资金池。
