ช่องโหว่ทางตรรกะดูดเงิน $101K จากสัญญา Polygon เก่าของ Huma

การโจมตี smart contract V1 ของ Huma Finance บน Polygon ส่งผลให้สูญเสีย USDC มูลค่า 101,400 ดอลลาร์ การเจาะระบบครั้งนี้เพิ่มความยากลำบากให้กับโปรโตคอล DeFi บนเครือข่ายที่กำลังเผชิญกับช่วงเวลาที่ท้าทายอยู่แล้ว

การเจาะระบบดังกล่าวถูกรายงานโดยบริษัทความปลอดภัย web3 อย่าง Blockaid ผู้โจมตีมุ่งเป้าไปที่การติดตั้ง BaseCreditPool ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน V1 เดิมของ Huma ความสูญเสียทั้งหมดอยู่ที่ ~101,400 ดอลลาร์ในรูปของ USDC และ USDC.e จากหลายสัญญา

Huma Finance ได้ยืนยันเหตุการณ์ดังกล่าวบน X โดยระบุว่า "ไม่มีเงินทุนของผู้ใช้ที่ตกอยู่ในความเสี่ยง และ PST ไม่ได้รับผลกระทบ" ทีมงานกล่าวว่าระบบ V2 ซึ่งทำงานบน Solana นั้นถูกสร้างขึ้นใหม่ทั้งหมดตั้งแต่ต้น และไม่มีโค้ดใดที่ใช้ร่วมกับสัญญาที่ถูกโจมตี

ช่องโหว่ V1 ของ Huma อยู่ในฟังก์ชันเดียว

ช่องโหว่ใน smart contract ถูกพบอยู่ภายในฟังก์ชันที่ชื่อว่า refreshAccount() ซึ่งเป็นฟังก์ชันที่อยู่ภายในสัญญา V1 BaseCreditPool นักวิจัยด้านความปลอดภัยของ Blockaid ระบุข้อบกพร่องนี้ได้ และได้แชร์ข้อมูลเพิ่มเติมบน X โดยกล่าวว่า:

refreshAccount() ติดป้ายบัญชีว่า 'สถานะดี' โดยไม่มีการตรวจสอบหรือเงื่อนไขที่แท้จริง ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้และดูดเงินออกจากพูลคลังของโปรโตคอล

ความสูญเสียพบในสัญญาสามรายการตามการวิเคราะห์บนเชนของ Blockaid บัญชีหนึ่งสูญเสีย ~82,300 USDC บัญชีที่สองสูญเสีย ~17,300 USDC.e และบัญชีที่สามสูญเสีย ~1,800 USDC.e ตามข้อมูลบนเชน การเจาะระบบทั้งหมดเสร็จสิ้นในธุรกรรมเดียว

ไม่มีปัญหาทางการเข้ารหัส ผู้โจมตีเพียงแค่เปลี่ยนสเตตแมชชีนของสัญญาเพื่อหลอกให้ระบบปฏิบัติต่อบัญชีที่ไม่ได้รับอนุญาตราวกับว่าถูกต้องตามกฎหมาย

ทีมงานของ Huma เขียนบน X ว่า "เมื่อช่วงเช้าที่ผ่านมา ช่องโหว่ในสัญญา v1 เดิมของ Huma บน Polygon ถูกโจมตีไปเป็นมูลค่า 101,400 USDC" พวกเขากล่าวต่อว่า "ระบบ v2 ของ Huma บน Solana เป็นการเขียนใหม่ทั้งหมด และปัญหานี้ไม่ส่งผลต่อระบบ v2"

Huma กล่าวว่าได้ทยอยปิดการดำเนินงาน V1 ก่อนที่จะเกิดการเจาะระบบขึ้นแล้ว ทีมงานระบุบน X ว่า "ทีมงานกำลังอยู่ในกระบวนการปิดพูล v1 เดิมทั้งหมดอยู่แล้ว และได้หยุด v1 ทั้งหมดแล้วในขณะนี้"

หลังเกิดเหตุการณ์ ทีมงานได้หยุดสัญญา V1 ที่เหลือทั้งหมดอย่างสมบูรณ์ บริษัทกล่าวว่าเงินฝากของผู้ใช้บน V2 ไม่ได้รับผลกระทบ และแพลตฟอร์มใหม่ยังคงดำเนินงานตามปกติ

Polygon เผชิญวันที่เลวร้าย

ตามรายงานล่าสุดจาก Cryptopolitan การเจาะระบบเกิดขึ้นในวันเดียวกับที่ Ink Finance สูญเสียเกือบ 140,000 ดอลลาร์จากสัญญา Workspace Treasury Proxy บน Polygon ผู้โจมตีได้ติดตั้งสัญญาที่ตรงกับที่อยู่ผู้เรียกร้องสิทธิ์ที่อยู่ในไวท์ลิสต์เพื่อเลี่ยงการตรวจสอบสิทธิ์

ในทั้งสองเหตุการณ์ ผู้โจมตีพบข้อผิดพลาดทางตรรกะในการออกแบบ smart contract การเจาะระบบต่อเนื่องบน Polygon เกิดขึ้นหลังจากเดือนเมษายน 2026 ซึ่งสร้างสถิติเป็นเดือนที่เลวร้ายที่สุดสำหรับความสูญเสียจาก smart contract

หากคุณกำลังอ่านสิ่งนี้อยู่ แสดงว่าคุณนำหน้าคนอื่นแล้ว คงความได้เปรียบนั้นไว้ด้วยจดหมายข่าวของเรา