逻辑漏洞导致Huma公司与Polygon公司trac的旧合同损失10.1万美元

针对Polygon平台上Huma Finance V1智能trac的攻击导致价值101,400美元的USDC损失。此次攻击加剧了 DeFi 协议在该网络上本已艰难的处境。.

该漏洞 报告 。攻击者针对的是与Huma旧版V1基础设施相关的BaseCreditPool部署。此次攻击共造成约101,400美元的 USDC 和USDC.e代币损失，涉及多个trac。

Huma Finance 已确认 X 平台上的这起dent ，并表示“用户资金未受威胁，PST 服务也未受影响”。该团队称，其基于 Solana平台的 V2 系统是完全自主开发的，与被入侵的trac没有任何代码关联。.

Huma V1 的缺陷在于一项功能

该智能合约trac存在于名为 refreshAccount()。该函数位于 V1 BaseCreditPool 合约中trac安全研究人员dent了该漏洞。他们 分享了 更多关于 X 的信息，称：

“漏洞：refreshAccount() 会无条件地将已申请的信用额度提升至良好状态，绕过 EA 审批步骤并启用 drawdown()。”

refreshAccount() 函数 在没有实际验证或附加条件的情况下，将账户标记为“信誉良好”。攻击者利用此漏洞，从协议的资金池中窃取了资金。

根据 Blockaid 的链上分析，损失发生在三笔trac中。其中一个账户损失了约 82,300 USDC，第二个账户损失了约 17,300 USDC.e，第三个账户损失了约 1,800 USDC.e。链上数据显示，整个攻击过程仅通过一笔交易完成。.

不存在加密问题。攻击者只是更改了trac的状态机，使其将未经授权的帐户视为合法帐户。.

Huma团队 发文称 存在漏洞trac，被盗取了101,400 USDC。”他们继续说道：“Huma在 Solana 是完全重写的，因此该问题不适用于v2系统。”

Huma表示，在漏洞出现之前，他们就已经开始逐步停止V1的运营。该团队在X上表示：“团队当时正在逐步关闭所有旧版V1池，现在已经完全暂停了V1的运营。”

事件dent后，团队立即暂停了所有剩余的V1trac。公司表示，V2平台上的用户存款未受影响，新平台目前运行正常。.

受害者trac：https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82,315.57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17,290.76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 17,290.76 USDC.e) 1,783.97 USDC.e)

攻击者： https://t.co/S0zOa5ClJk
利用trac：…

— Blockaid (@blockaid_) 2026年5月11日

Polygon今天过得很糟糕。

据 Cryptopolitan，此次漏洞利用事件发生在 Ink Finance 因 Polygon 上的 Workspace Treasury Proxy 合约损失近 14 万美元的同一天trac攻击者部署了trac，从而绕过了资格检查。

在这两起dent中，攻击者都发现了智能trac设计中的逻辑错误。Polygon 数据库接连遭受攻击，而 2026 年 4 月是智能trac损失最严重的月份，创下了该月损失最惨重的纪录。.

不要只是阅读加密货币新闻，要理解它。订阅我们的新闻简报， 完全免费。