Un fallo lógico le cuesta a Huma 101.000 dólares de sus antiguostraccon Polygon
Un ataque a lostracinteligentes V1 de Huma Finance en Polygon provocó una pérdida de 101.400 USDC. Esta vulnerabilidad se suma a la difícil situación que atraviesan los protocolos DeFi en la red.
sobre la vulnerabilidad informó . El atacante se dirigió a las implementaciones de BaseCreditPool relacionadas con la infraestructura V1 antigua de Huma. La pérdida total ascendió a aproximadamente 101 400 dólares en USDC y USDC.e en diversostrac.
Huma Finance confirmó eldent en X, declarando: “No hay fondos de usuarios en riesgo y el PST no se ve afectado”. El equipo afirmó que su sistema V2, que se ejecuta en Solana, fue desarrollado desde cero y no comparte código con lostraccomprometidos.
El fallo de Huma V1 estaba en una función
inteligentetracSe encontró una vulnerabilidad en refreshAccount(). Esta función se encuentra dentro de los contratos BaseCreditPool V1tracLos investigadores de seguridad de Blockaiddentel error. Compartieron más información en X, diciendo:
“Error: refreshAccount() promueve incondicionalmente una línea de crédito solicitada a GoodStanding, omitiendo el paso de aprobación de EA y habilitando drawdown().”
La función refreshAccount() etiquetaba las cuentas como "en regla" sin verificación ni condiciones reales. El atacante aprovechó esta vulnerabilidad y sustrajo fondos de los fondos de tesorería del protocolo.
Según el análisis en cadena de Blockaid, las pérdidas se registraron en trestrac. Una cuenta perdió aproximadamente 82 300 USDC, otra aproximadamente 17 300 USDC y una tercera aproximadamente 1800 USDC. De acuerdo con los datos en cadena, la explotación completa se realizó en una sola transacción.
No hubo ningún problema criptográfico. El atacante simplemente modificó la máquina de estados deltracpara engañarla y hacer que tratara una cuenta no autorizada como legítima.
El equipo de Huma escribió en X: «Hoy temprano se explotó una vulnerabilidad en lostracen Polygon, obteniendo 101.400 USDC». Y añadieron: «El sistema v2 de Huma en Solana es una reescritura completa y este problema no afecta a los sistemas v2».
Huma afirmó que ya había comenzado a reducir las operaciones de V1 antes de que ocurriera la vulnerabilidad. El equipo declaró en X: «Los equipos ya estaban en proceso de desmantelar todos los grupos de v1 antiguos y ahora han suspendido completamente v1»
Tras eldent, el equipo suspendió por completo todostracrestantes de V1. La empresa afirmó que los depósitos de los usuarios en V2 no se vieron afectados y que la nueva plataforma sigue funcionando con normalidad.
de víctimatrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82.315,57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17.290,76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 1.783,97 USDC.e)
Atacante: https://t.co/S0zOa5ClJk
de explotacióntrac:…— Blockaid (@blockaid_) 11 de mayo de 2026
Polygon tuvo un mal día
Según un informe reciente de Cryptopolitan, el ataque se produjo el mismo día en que Ink Finance perdió casi 140 000 dólares de sutracen Polygon. El atacante desplegó untracque coincidía con una dirección de reclamante incluida en la lista blanca para eludir las comprobaciones de elegibilidad.
En ambosdent, los atacantes encontraron errores lógicos en el diseño de lostracinteligentes. Los ataques consecutivos a Polygon se produjeron después de abril de 2026, estableciendo un récord para el peor mes en pérdidas detracinteligentes.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.
Artículos Recomendados
