Huma Finance exploit Polygon ha colpito i contratti smart V1 BaseCreditPool deprecati sulla rete Polygon, con una perdita di circa 101.000 dollari. L’attacco, avvenuto l’11 maggio, ha permesso a un malintenzionato di prelevare 82.316 USDC e 19.075 USDC.e tramite drawdown non autorizzati. Alla base del caso c’è un errore di logica nel ciclo di vita del credito, nascosto in contratti ormai fuori uso ma ancora attivi sulla blockchain.
L’episodio mostra un rischio che la DeFi continua a sottovalutare: anche gli smart contract deprecati possono restare esposti e diventare un bersaglio. Nel caso di Huma Finance, la falla non ha toccato i depositi degli utenti, ma ha comunque aperto una breccia nei meccanismi di accesso e nelle fee del protocollo.
Summary
Huma Finance exploit Polygon: cosa è stato colpito
L’exploit ha interessato solo i contratti V1 di BaseCreditPool su Polygon, già deprecati e fuori dall’operatività principale del protocollo. I depositi degli utenti non hanno subito alcun danno. Questo punto è centrale, perché separa l’incidente tecnico dalla custodia dei fondi personali.
Il danno si è limitato alle commissioni di pool owner e alle commissioni di protocollo. Inoltre, il PayFi Strategy Token (PST) e la versione V2 di Huma Finance su Solana non sono stati impattati e restano pienamente operativi. La distinzione tra V1 e V2 ha quindi contenuto l’effetto dell’attacco.
Perché i contratti smart deprecati V1 erano vulnerabili
Il problema nasce da un difetto nella logica di gestione del ciclo di vita del credito. In pratica, i controlli su chi potesse autorizzare i prelievi e in quali condizioni non erano abbastanza robusti. Questo ha aperto la strada a prelievi non autorizzati sui vecchi contratti.
Gli esperti di sicurezza leggono la falla come un classico errore di access-control, più che come un attacco zero-day sofisticato. Il punto critico non è solo il bug in sé, ma il fatto che i contratti legacy restino attivi sulla chain anche dopo essere stati superati da nuove versioni. Se non vengono disattivati o svuotati del tutto, diventano un bersaglio semplice.
La timeline dell’exploit su Polygon
Secondo i dati comunicati, l’attacco si è verificato l’11 maggio e ha portato alla fuga di fondi dai contratti V1 BaseCreditPool su Polygon. In totale, il valore sottratto è stato stimato in circa 101.000 dollari, con 82.316 USDC e 19.075 USDC.e coinvolti nell’exploit.
Impatto dell’exploit su utenti e protocolli
L’impatto dell’exploit su utenti e protocolli è rimasto circoscritto. Nessun deposito degli utenti è stato compromesso. Anche per questo il caso non ha prodotto effetti a catena sulla base utenti né sulla continuità del servizio.
Dal punto di vista operativo, Huma Finance aveva già separato l’architettura V1 dalla V2. Questo ha ridotto il rischio di contagio tra le diverse componenti del protocollo. La versione V2 su Solana, insieme al PST, non ha subito conseguenze dall’attacco su Polygon.
Per il settore DeFi, il messaggio è chiaro: i contratti smart legacy richiedono la stessa attenzione delle versioni attive. Anzi, in alcuni casi ne richiedono di più, perché restano esposti anche quando sembrano secondari.
Cosa insegna il caso Huma Finance alla DeFi
Il caso Huma Finance exploit Polygon evidenzia quanto sia importante gestire con cura ogni fase di vita di un protocollo. Auditing costante, controlli di accesso più severi e procedure di disattivazione chiare servono a ridurre il rischio di fughe di fondi da BaseCreditPool e da altri contratti smart deprecati.
Per investitori e aziende del settore, la lezione è concreta: una migrazione verso nuove versioni non basta se il vecchio codice resta operativo sulla blockchain. La sicurezza non riguarda solo il presente di un protocollo, ma anche ciò che continua a vivere sulla chain dopo il passaggio a una nuova architettura.
FAQ
Che cos’è l’Huma Finance exploit su Polygon?
È un attacco che ha colpito i contratti smart V1 BaseCreditPool deprecati di Huma Finance sulla rete Polygon, causando una perdita di circa 101.000 dollari.
Quali asset sono stati sottratti?
Secondo i dati comunicati, l’attaccante ha prelevato 82.316 USDC e 19.075 USDC.e tramite drawdown non autorizzati.
I depositi degli utenti sono stati colpiti?
No. Huma Finance ha confermato che i depositi degli utenti non hanno subito alcun danno.
PST e la V2 su Solana hanno avuto impatti?
No. Il PayFi Strategy Token (PST) e la versione V2 di Huma Finance su Solana non sono stati impattati e restano operativi.
