تعرض عقد Huma Finance القديم V1 على Polygon لاستغلال بقيمة 101,400 دولار أمريكي من USDC
تمكن أحد المخترقين من استغلال ثغرة منطقية في العقود القديمة لمنصة Huma على شبكة Polygon، وسحب حوالي 101.400 دولار أمريكي من عملة USDC، لكن منصتها الجديدة على Solana ورموز PST لم تتأثر.
أعلنت شركة Huma Finance أن العقود القديمة (V1) على شبكة Polygon تم اختراقها، حيث تم سحب ما يقرب من 101.400 دولار من USDC و USDC.e من مجمعات سيولة قديمة كانت في طور الإغلاق. وأكد الفريق أن أموال المستخدمين في منصة PayFi الحالية ليست في خطر، وأن رمز PST لم يتأثر، وأن نظام V2 المعاد تصميمه على Solana منفصل هيكليًا عن العقود المتضررة.
وفقًا لمنشور رسمي على X: “تم استغلال عقود V1 على Polygon مقابل حوالي 101 ألف دولار. إجمالي المسحوبات: حوالي 101.4 ألف دولار (USDC + USDC.e)”. وأكد الفريق أن الحادث اقتصر على العقود القديمة الموقوفة، وليس خزائن الإنتاج النشطة.
وأرجعت شركة الأمن السيبراني Blockaid، في تقرير فني، الخسارة إلى خلل منطقي في دالة تسمى refreshAccount() داخل العقود القديمة، والتي غيرت حالة الحساب من “حد ائتماني مطلوب” إلى “حالة جيدة” دون تحقق كافٍ.
سمح هذا الخلل للمخترق بتجاوز ضوابط الوصول وسحب الأموال من المجمعات المرتبطة بالخزينة وكأنه مقترض معتمد. وأظهر تحليل Blockaid سحب حوالي 82,315.57 USDC من عقد واحد، و17,290.76 USDC.e من عقد آخر، و1,783.97 USDC.e من عقد ثالث، وذلك في تسلسل منسق تم تنفيذه في معاملة واحدة. لم يتضمن الاختراق كسر التشفير أو المفاتيح الخاصة، بل التلاعب بالمنطق التجاري ليجعل النظام “يعتقد” أن المخترق مخول بسحب الأموال.
قالت Huma إنها كانت بالفعل في مرحلة إيقاف مجمعات السيولة القديمة على Polygon عند حدوث الاختراق، وقد أوقفت الآن جميع العقود القديمة المتبقية بالكامل لمنع أي مخاطر إضافية. وأكد الفريق أن Huma 2.0 – وهي منصة PayFi “ذات العائد الحقيقي” التي أطلقت على Solana في أبريل 2025 بدعم من Circle ومؤسسة Solana – هي “إعادة بناء كاملة” بهندسة مختلفة وغير متصلة بالكود القديم المعرض للخطر.
يركز تصميم Huma 2.0 على رمز PST (رمز استراتيجية الدفع)، وهو رمز سائل يحمل عائدًا ويمثل مراكز في استراتيجيات تمويل المدفوعات، ويمكن دمجه مع بروتوكولات DeFi على Solana مثل Jupiter وKamino وRateX. على النقيض، كانت العقود القديمة المخترقة جزءًا من نظام ائتماني قديم على Polygon، وهو الآن متقاعد فعليًا.
بالنسبة للمستخدمين، الخلاصة الرئيسية هي أن الخسارة البالغة 101.400 دولار أمريكي أصابت سيولة البروتوكول القديم وليس المحافظ الفردية، وأن الودائع الحالية ومراكز PST على Solana آمنة. ومع ذلك، تضيف الحادثة مثالًا آخر إلى قائمة طويلة من اختراقات DeFi حيث كانت نقطة الضعف هي المنطق التجاري في العقود القديمة، مما يعزز سبب هجرة الفرق مثل Huma إلى بنى معاد تصميمها، ولماذا يجب على المستخدمين التعامل مع المجمعات “القديمة” و”التي سيتم إيقافها قريبًا” بنفس الحذر الذي يخصصونه للكود غير المدقق.
الأسئلة الشائعة
- هل فقد المستخدمون أموالهم الشخصية في هذا الاختراق؟ لا، الخسارة طالت سيولة البروتوكول القديم نفسه، وليست محافظ المستخدمين الفردية. الودائع الحالية على منصة PayFi الجديدة لم تتأثر.
- هل تأثر رمز PST أو منصة Huma 2.0 على Solana؟ لا، رمز PST ومنصة Huma 2.0 على Solana منفصلتان تمامًا عن العقود القديمة المخترقة، وتم الإعلان عنهما كمنصة معاد بناؤها من الصفر.
- كيف حدث الاختراق؟ حدث الاختراق بسبب خلل منطقي في دالة قديمة تسمى refreshAccount() سمحت للمخترق بتجاوز الضوابط وسحب الأموال وكأنه مقترض معتمد، دون كسر أي تشفير أو مفاتيح خاصة.
