Huma Finance V1合约遭攻击,损失约10.14万美元
Polygon网络上Huma Finance的V1智能合约遭受攻击,导致约101,400美元等值的USDC资产损失。此次事件为该网络上本已处境艰难的DeFi协议再添阴霾。
据网络安全公司报告,攻击者针对与Huma旧版V1基础设施相关的BaseCreditPool部署发动了攻击。多个合约总计损失价值约101,400美元的USDC及USDC.e资产。
Huma Finance官方已确认此事,并表示“用户资金无风险,PST未受影响”。团队称其运行于Solana的V2系统为完全重写,与被攻击合约无代码关联。
漏洞存在于单一函数
此次智能合约漏洞位于名为refreshAccount()的函数中,该函数属于V1 BaseCreditPool合约。安全研究人员发现,该漏洞使得未经授权的信用额度在未完成审批流程的情况下被提升至正常状态,从而允许提款操作。
具体而言,refreshAccount()函数在未进行实际验证或无附加条件的情况下,即可将账户标记为“正常状态”。攻击者利用这一缺陷,从协议的资金池中提取了资金。
根据链上分析,损失分布在三个合约中:一个账户损失约82,300 USDC,第二个损失约17,300 USDC.e,第三个损失约1,800 USDC.e。链上数据显示,整个攻击过程仅通过单笔交易完成。
此次事件并非密码学问题,而是攻击者通过改变合约状态机,诱使系统将未授权账户识别为合法账户。
团队响应与后续措施
Huma团队表示,受攻击的Polygon上V1合约属于遗留系统,而基于Solana的V2系统为完全重构,不受此漏洞影响。
团队透露,在攻击发生前,V1系统的逐步关闭工作已在推进中。事件发生后,团队已完全暂停所有剩余的V1合约,并强调V2上的用户存款未受影响,新平台继续正常运作。
Polygon网络同日再遭打击
另据报道,同日Polygon网络上还发生了另一起安全事件,Ink Finance损失近14万美元。攻击者通过部署与白名单申领地址相匹配的合约,绕过了资格检查。
两起事件中,攻击者均利用了智能合约设计中的逻辑缺陷。接连发生的安全事件使得2026年4月成为该网络智能合约损失最为严重的月份之一。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注