Huma Finance exploit Polygon: 101.000$ sottratti dai contratti V1 deprecati

Uno sviluppo di rilievo scuote i mercati delle criptovalute. Huma Finance exploit Polygon ha colpito i contratti smart V1 BaseCreditPool deprecati sulla rete Polygon, con una perdita di circa 101. L’attacco, avvenuto l’11 maggio, ha permesso a un malintenzionato di prelevare 82. e tramite drawdown non autorizzati.

Alla base del caso c’è un errore di logica nel ciclo di vita del credito, nascosto in contratti ormai fuori uso ma ancora attivi sulla blockchain. L’episodio mostra un rischio che la DeFi continua a sottovalutare: anche gli smart contract deprecati possono restare esposti e diventare un bersaglio. Nel caso di Huma Finance, la falla non ha toccato i depositi degli utenti, ma ha comunque aperto una breccia nei meccanismi di accesso e nelle fee del protocollo.

Dinamiche di mercato

Huma Finance exploit Polygon: cosa è stato colpito L’exploit ha interessato solo i contratti V1 di BaseCreditPool su Polygon, già deprecati e fuori dall’operatività principale del protocollo. I depositi degli utenti non hanno subito alcun danno. Questo punto è centrale, perché separa l’incidente tecnico dalla custodia dei fondi personali.

Il danno si è limitato alle commissioni di pool owner e alle commissioni di protocollo. Inoltre, il PayFi Strategy Token (PST) e la versione V2 di Huma Finance su Solana non sono stati impattati e restano pienamente operativi. La distinzione tra V1 e V2 ha quindi contenuto l’effetto dell’attacco.

Perché i contratti smart deprecati V1 erano vulnerabili Il problema nasce da un difetto nella logica di gestione del ciclo di vita del credito. In pratica, i controlli su chi potesse autorizzare i prelievi e in quali condizioni non erano abbastanza robusti. Questo ha aperto la strada a prelievi non autorizzati sui vecchi contratti.

Impatto sui mercati

Gli esperti di sicurezza leggono la falla come un classico errore di access-control, più che come un attacco zero-day sofisticato. Il punto critico non è solo il bug in sé, ma il fatto che i contratti legacy restino attivi sulla chain anche dopo essere stati superati da nuove versioni. Se non vengono disattivati o svuotati del tutto, diventano un bersaglio semplice.

La timeline dell’exploit su Polygon Secondo i dati comunicati, l’attacco si è verificato l’11 maggio e ha portato alla fuga di fondi dai contratti V1 BaseCreditPool su Polygon. In totale, il valore sottratto è stato stimato in circa 101. e coinvolti nell’exploit.

Impatto dell’exploit su utenti e protocolli L’impatto dell’exploit su utenti e protocolli è rimasto circoscritto. Nessun deposito degli utenti è stato compromesso. Anche per questo il caso non ha prodotto effetti a catena sulla base utenti né sulla continuità del servizio.

I mercati delle criptovalute seguono da vicino questo sviluppo, mentre gli investitori valutano il potenziale impatto sui prezzi.