أسفر هجوم علىtracالذكية من الإصدار الأول لشركة Huma Finance على منصة Polygon عن خسارة قدرها 101,400 دولار أمريكي من عملة USDC الرقمية. وقد زاد هذا الهجوم من صعوبة الوضع الذي تواجهه بروتوكولات DeFi على الشبكة.
الثغرة أبلغت الأمنية. استهدف المهاجم عمليات نشر BaseCreditPool المرتبطة بالبنية التحتية القديمة V1 لشركة Huma. بلغت الخسائر الإجمالية حوالي 101,400 دولار أمريكي USDC وUSDC.e عبر عقودtrac.
أكدت شركة Huma Financedent الحادث على منصة X، قائلةً: "لا توجد أموال مستخدمين معرضة للخطر، ولم تتأثر خدمة PST". وأوضح الفريق أن نظام V2 الخاص بهم، والذي يعمل على Solana، قد تم بناؤه من الصفر، ولا يشترك في أي شفرة برمجية معtracالمخترقة.
كان عيب الإصدار الأول من Huma يكمن في وظيفة واحدة
الذكيtracداخل دالة تُسمى refreshAccount()، وهي دالة موجودة ضمن عقود BaseCreditPool من الإصدار الأولtracباحثو الأمن في Blockaiddentهذه الثغرة، وقدموا مزيدًا من المعلومات عنها، قائلين:
"خطأ برمجي: تقوم الدالة refreshAccount() بترقية خط الائتمان المطلوب إلى وضع جيد دون أي شروط، متجاوزةً بذلك خطوة موافقة EA وممكّنةً عملية السحب (drawdown())."
دالة refreshAccount() بتصنيف الحسابات بأنها "ذات وضع جيد" دون أي تحقق أو شروط فعلية. استغل المهاجم هذا الخلل وسحب الأموال من خزائن البروتوكول.
كشف تحليل Blockaid على سلسلة الكتل عن خسائر في ثلاثةtrac. خسر أحد الحسابات ما يقارب 82,300 USDC، وخسر حساب ثانٍ ما يقارب 17,300 USDC.e، بينما خسر حساب ثالث ما يقارب 1,800 USDC.e. وتشير بيانات سلسلة الكتل إلى أن عملية الاستغلال بأكملها تمت في معاملة واحدة.
لم تكن هناك مشكلة تشفيرية. قام المهاجم ببساطة بتغيير حالة النظامtracوجعله يتعامل مع حساب غير مصرح به على أنه حساب شرعي.
فريق Huma كتب Huma القديمة (الإصدار 1)tracعلى منصة Polygon، وسُرق منها 101,400 دولار أمريكي (USDC)". وأضافوا: "نظام Huma (الإصدار 2) على Solana هو نظام مُعاد كتابته بالكامل، وهذه المشكلة لا تنطبق على أنظمة الإصدار 2".
أفادت شركة Huma بأنها كانت قد بدأت بالفعل في تقليص عمليات الإصدار الأول (V1) قبل وقوع الثغرة الأمنية. وقال الفريق في بيانٍ له: "كانت الفرق بصدد إيقاف جميع مجموعات بيانات الإصدار الأول القديمة، وقد أوقفت الإصدار الأول تمامًا الآن"
بعدdent، أوقف الفريق جميعtracV1 المتبقية بشكل كامل. وأكدت الشركة أن ودائع المستخدمين على V2 لم تتأثر وأن المنصة الأحدث تستمر في العمل بشكل طبيعي.
الضحاياtrac:https://t.co/eLxi7skhsI (Huma V1 BaseCreditPool - 82,315.57 USDC)https://t.co/EnPLFdvOM8 (Huma V1 BaseCreditPool - 17,290.76 USDC.e)https://t.co/prR0lxoD7L (Huma V1 BaseCreditPool - 1,783.97 دولارًا أمريكيًا (USDC.e)
المهاجم: https://t.co/S0zOa5ClJk
استغلالtrac:…— بلوكايد (@blockaid_) ١١ مايو ٢٠٢٦
كان يومًا سيئًا بالنسبة لموقع بوليغون
بحسب تقرير حديث من Cryptopolitan، وقع الهجوم في نفس اليوم الذي خسرت فيه شركة Ink Finance ما يقارب 140 ألف دولار من عقد Workspace Treasury Proxy الخاص بهاtracمنصة Polygon. وقد استخدم المهاجم عقدًاtracلعنوان مُدرج في القائمة البيضاء للمطالبين لتجاوز عمليات التحقق من الأهلية.
في كلاdent، اكتشف المهاجمون ثغرات منطقية في تصميمtracالذكية. وجاءت عمليات الاختراق المتتالية على موقع Polygon بعد أبريل 2026، مسجلةً بذلك أسوأ شهر من حيث خسائرtracالذكية.