Huma Finance'in Eski Polygon Havuzlarındaki Açık, 101.400$ Kayba Neden Oldu

Huma Finance, Polygon'daki eski V1 sözleşmelerinde, tasfiye sürecindeki likidite havuzlarından yaklaşık 101.400$ değerinde USDC ve USDC.e kaybedildiğini açıkladı. Ekip, mevcut PayFi platformundaki kullanıcı mevduatlarının risk altında olmadığını, Huma'nın PST token'ının etkilenmediğini ve Solana üzerindeki yeniden mimarilendirilmiş V2 sisteminin etkilenen sözleşmelerden yapısal olarak ayrı olduğunu vurguladı.

X'teki resmi bir gönderiye göre, "Huma Finance'in Polygon üzerindeki V1 BaseCreditPool dağıtımları yaklaşık 101 bin dolar için sömürüldü. Toplam çekilen miktar: yaklaşık 101.4 bin dolar (USDC + USDC.e)", ekip olayın, canlı üretim kasaları yerine kullanımdan kaldırılmış sözleşmelerle sınırlı olduğunu doğruladı. Web3 güvenlik firması Blockaid'in CryptoTimes tarafından alıntılanan detaylı bir yazısı, kaybı, V1 BaseCreditPool sözleşmelerindeki refreshAccount() adlı bir fonksiyondaki bir mantık hatasına atfediyor. Bu hata, bir hesabın durumunu yeterli kontroller olmadan "Talep Edilen kredi limiti"nden "İyi Durumda"ya yanlış bir şekilde değiştirdi.

Bu hata, saldırganın erişim kontrollerini aşmasına ve hazine bağlantılı havuzlardan onaylı bir borçlu gibi fon çekmesine izin verdi. Blockaid'in analizi, bir sözleşmeden (0x3EBc1) yaklaşık 82.315,57 USDC, bir diğerinden (0x95533) 17.290,76 USDC.e ve üçüncüsünden (0xe8926) 1.783,97 USDC.e çekildiğini gösteriyor. Bu işlemler tek bir işlemde gerçekleştirildi. İstismar, kriptografi veya özel anahtarların kırılmasını içermedi, daha ziyade sistemin saldırganın fon çekmesine izin verildiğini "düşünmesi" için iş mantığını manipüle etti.

Huma, istismar meydana geldiğinde Polygon'daki V1 likidite havuzlarını aşamalı olarak kaldırdığını ve daha fazla riski önlemek için kalan tüm V1 sözleşmelerini tamamen durdurduğunu söylüyor. Ekip, açıklamasında, Nisan 2025'te Circle ve Solana Vakfı'nın desteğiyle Solana'da piyasaya sürülen, izinsiz, birleştirilebilir "gerçek getiri" PayFi platformu olan Huma 2.0'ın "tamamen yeniden inşa edilmiş" ve farklı bir mimariye sahip olduğunu ve savunmasız V1 koduyla bağlantılı olmadığını vurguladı.

Kullanıcılar için önemli olan nokta, yaklaşık 101.400$ USDC kaybının bireysel cüzdanlardan ziyade eski protokol seviyesindeki likiditeyi etkilediği ve Solana'daki mevcut mevduatların ve PST pozisyonlarının güvenli olarak rapor edildiğidir. Ancak olay, zayıf noktanın imza şemaları değil, eski sözleşmelerdeki iş mantığı olduğu birçok DeFi istismarına bir örnek daha ekliyor. Bu durum, Huma gibi ekiplerin neden yeniden tasarlanan mimarilere geçtiğini ve kullanıcıların "eski" ve "yakında kullanımdan kaldırılacak" havuzlara denetlenmemiş kod için ayırdıkları aynı dikkatle yaklaşmaları gerektiğini vurguluyor.