邏輯漏洞導致Huma公司與Polygon公司trac的舊合同損失10.1萬美元

針對Polygon平臺上Huma Finance V1智能trac的攻擊導致價值101,400美元的USDC損失。此次攻擊加劇了 DeFi 協議在該網絡上本已艱難的處境。.

該漏洞 報告 。攻擊者針對的是與Huma舊版V1基礎設施相關的BaseCreditPool部署。此次攻擊共造成約101,400美元的 USDC 和USDC.e代幣損失，涉及多個trac。

Huma Finance 已確認 X 平臺上的這起dent ，並表示“用戶資金未受威脅，PST 服務也未受影響”。該團隊稱，其基於 Solana平臺的 V2 系統是完全自主開發的，與被入侵的trac沒有任何代碼關聯。.

Huma V1 的缺陷在於一項功能

該智能合約trac存在於名爲 refreshAccount()。該函數位於 V1 BaseCreditPool 合約中trac安全研究人員dent了該漏洞。他們 分享了 更多關於 X 的信息，稱：

“漏洞：refreshAccount() 會無條件地將已申請的信用額度提升至良好狀態，繞過 EA 審批步驟並啓用 drawdown()。”

refreshAccount() 函數 在沒有實際驗證或附加條件的情況下，將賬戶標記爲“信譽良好”。攻擊者利用此漏洞，從協議的資金池中竊取了資金。

根據 Blockaid 的鏈上分析，損失發生在三筆trac中。其中一個賬戶損失了約 82,300 USDC，第二個賬戶損失了約 17,300 USDC.e，第三個賬戶損失了約 1,800 USDC.e。鏈上數據顯示，整個攻擊過程僅通過一筆交易完成。.

不存在加密問題。攻擊者只是更改了trac的狀態機，使其將未經授權的帳戶視爲合法帳戶。.

Huma團隊 發文稱 存在漏洞trac，被盜取了101,400 USDC。”他們繼續說道：“Huma在 Solana 是完全重寫的，因此該問題不適用於v2系統。”

Huma表示，在漏洞出現之前，他們就已經開始逐步停止V1的運營。該團隊在X上表示：“團隊當時正在逐步關閉所有舊版V1池，現在已經完全暫停了V1的運營。”

事件dent後，團隊立即暫停了所有剩餘的V1trac。公司表示，V2平臺上的用戶存款未受影響，新平臺目前運行正常。.

受害者trac：https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool – 82,315.57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool – 17,290.76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool – 17,290.76 USDC.e) 1,783.97 USDC.e)

攻擊者： https://t.co/S0zOa5ClJk
利用trac：…

— Blockaid (@blockaid_) 2026年5月11日

Polygon今天過得很糟糕。

據 Cryptopolitan，此次漏洞利用事件發生在 Ink Finance 因 Polygon 上的 Workspace Treasury Proxy 合約損失近 14 萬美元的同一天trac攻擊者部署了trac，從而繞過了資格檢查。

在這兩起dent中，攻擊者都發現了智能trac設計中的邏輯錯誤。Polygon 數據庫接連遭受攻擊，而 2026 年 4 月是智能trac損失最嚴重的月份，創下了該月損失最慘重的紀錄。.

不要只是閱讀加密貨幣新聞，要理解它。訂閱我們的新聞簡報， 完全免費。