Huma Finance 黑客事件:Polygon V1 旧合约资金被盗约 10.1 万美元
这起 Huma Finance hack 从已弃用的 Polygon V1 BaseCreditPool 智能合约中盗走约 10.14 万美元。安全机构 Blockaid 将漏洞归因于 refreshAccount() 中的账户校验逻辑缺陷:攻击者通过高度配合的交易,把账户状态操纵为“GoodStanding”,随后触发未授权的 drawdown()。
关键损失包括某个受影响资金池被转走约 82,315 USDC,且另外两个合约还被盗走 USDC.e 余额。Huma 表示此次与旧版合约路径有关,例如 requestCredit() 与 refreshAccount();如果旧合约没有被完全下线,这些路径仍可能保持可被调用。
重要的是,Huma Finance 坚称用户资金没有处于风险中:其基于 Solana 的新版 V2 基础设施与受损的 Polygon V1 部署隔离,且不会共享受影响合约的代码。但该事件仍凸显更广泛的 DeFi 风险:技术债带来的休眠函数、遗留授权、残余资金以及隐藏攻击面。(同日相关事件:Ink Finance 也在 Workspace Treasury Proxy 合约中损失近 14 万美元。)
对交易者而言,这起 Huma Finance hack 是短期内审慎看待 Polygon DeFi 风险的信号,尤其是依赖“legacy 合约模式”的协议。
看跌
该事件源于 Polygon V1 的“旧版合约/legacy”路径被利用,两份摘要都强调:即便协议迁移,新架构上线后,旧路径仍可能因未彻底下线而保持可被调用。由此会放大交易者对 Polygon DeFi 整体智能合约风险的定价。
短期内,即便 Huma 强调其基于 Solana 的 V2 与被攻破的 Polygon V1 隔离、在用资金不受影响,市场往往仍会因安全不确定性上升而压低 Polygon DeFi 情绪与流动性(对 MATIC 相关市场更直接)。
中长期看,如果后续还有更多 Polygon 协议的 legacy 风险被挖出,负面情绪可能持续。综合而言,对 MATIC 的影响更偏向情绪层面的短期转弱,因此归类为偏 bearish。