Huma Finance 公布,其已逐步下线的 Polygon V1 BaseCreditPool 合约在关闭流程中被恶意利用,导致约 101,400 美元的 USDC 与 USDC.e 被非法提取。官方明确指出,当前 PayFi 平台用户存款安全,PST 代币价值稳定,且在 Solana 上部署的 V2 系统与出问题的旧合约在技术架构上实现彻底分离。
经安全机构分析,此次事故根源在于 V1 合约中 refreshAccount() 函数存在严重逻辑瑕疵:该接口在未执行充分验证的情况下,擅自将账户状态从“申请信用”更改为“信用良好”,从而让攻击者伪装成合规借款人,绕过权限控制,直接从关联资金池中提取资产。
攻击行为通过一次高度协同的多合约调用完成,分批次从三个不同地址提取了总计约 82,315.57 USDC、17,290.76 USDC.e 以及 1,783.97 USDC.e。整个过程不依赖私钥暴露或密码学漏洞,而是精准操纵系统业务规则,诱导协议错误授权。
事发时,公司正按计划淘汰 Polygon 上的 V1 流动性体系,所有剩余合约现已完全暂停,防止风险进一步扩散。团队特别说明,于 2025 年 4 月上线的 Huma 2.0 是一个基于 Solana 的无需许可、可组合的支付金融基础设施,其核心为 $PST 代币,代表真实收益头寸,并可无缝对接 Jupiter、Kamino 与 RateX 等主流 DeFi 协议,与旧版代码无任何交集。
对用户而言,本次损失仅影响协议层面的废弃流动性,个人钱包中的资金不受影响。尽管如此,该事件再次凸显:许多 DeFi 安全危机并非源于加密算法,而来自陈旧合约中的业务逻辑缺陷。这也印证了 Huma 向全新架构迁移的战略合理性,同时提醒投资者应以高度警惕对待尚未退役但已停止维护的资金池。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.