#huma Finance 這次漏洞覆盤,其實又把 DeFi 一個老問題扒出來了:升級了新系統,但舊代碼沒“清乾淨”,反而成了隱患。
攻擊者就是利用 Polygon V1 裏一箇舊邏輯漏洞(refreshAccount 驗證問題),在一套精心設計的交易裏,把賬戶狀態“僞裝成正常”,然後直接從舊資金池裏抽走了約 10 萬美元 USDC。
雖然金額不算巨大,但關鍵點很嚇人:這些已經“棄用”的合約依然能被訪問,舊功能像 requestCredit / refreshAccount 這種路徑還在運行,等於給攻擊留了後門。
好在官方確認,真正活躍用戶資金沒受影響,新的 Solana V2 系統也和舊架構完全隔離。
但這事的重點不是損失多少,而是提醒整個行業:DeFi 最大的風險,有時候不是黑客技術多強,而是“舊系統還沒退乾淨”。技術債纔是真正的慢性風險。🚨
攻擊者就是利用 Polygon V1 裏一箇舊邏輯漏洞(refreshAccount 驗證問題),在一套精心設計的交易裏,把賬戶狀態“僞裝成正常”,然後直接從舊資金池裏抽走了約 10 萬美元 USDC。
雖然金額不算巨大,但關鍵點很嚇人:這些已經“棄用”的合約依然能被訪問,舊功能像 requestCredit / refreshAccount 這種路徑還在運行,等於給攻擊留了後門。
好在官方確認,真正活躍用戶資金沒受影響,新的 Solana V2 系統也和舊架構完全隔離。
但這事的重點不是損失多少,而是提醒整個行業:DeFi 最大的風險,有時候不是黑客技術多強,而是“舊系統還沒退乾淨”。技術債纔是真正的慢性風險。🚨