- Atacante drenou cerca de US$ 101,4 mil em USDC de pools legados da Huma
- Falha estava na função refreshAccount() de contratos V1 já em descontinuação
- Plataforma PayFi V2 na Solana e token PST não foram afetados pelo incidente
Mais um capítulo na longa lista de exploits que exploram código antigo no DeFi. A Huma Finance confirmou que contratos legados de sua versão V1 na rede Polygon foram explorados por um invasor, que conseguiu drenar aproximadamente US$ 101,4 mil em USDC e USDC.e de pools de crédito que já estavam em processo de descontinuação.
O ataque atingiu contratos do tipo BaseCreditPool, peças centrais da arquitetura permissionada que a Huma operava antes de migrar para a Solana. Em comunicado oficial publicado no X, o time afirmou que nenhum depósito ativo da plataforma atual está em risco e que o token PST, lastro da estratégia PayFi 2.0, permaneceu intacto.
Como o ataque foi executado
A análise técnica veio da empresa de segurança Blockaid, que rastreou a origem do rombo até uma falha lógica em uma função chamada refreshAccount(). O bug permitia alterar o status de uma conta de “Requested credit line” para “GoodStanding” sem verificações adequadas. Com isso, o atacante passou pelos controles de acesso como se fosse um tomador aprovado.
O sequenciamento foi cirúrgico. Segundo a Huma, em uma única transação encadeada, o invasor sacou 82.315,57 USDC de um contrato, 17.290,76 USDC.e de outro e 1.783,97 USDC.e de um terceiro. Não houve quebra de criptografia nem comprometimento de chaves privadas apenas manipulação da lógica de negócio que governava o pool.
Esse detalhe é relevante. Diferente de exploits que envolvem assinaturas vazadas ou oráculos manipulados, o caso da Huma se encaixa em uma categoria que vem ganhando peso, vulnerabilidades em código maduro, auditado, mas com funções esquecidas durante migrações. A Blockaid identificou ainda os três endereços envolvidos, todos vinculados a pools com tesouraria própria.
V2 na Solana fica fora do incidente
A Huma faz questão de separar os dois mundos. A equipe lançou a versão 2.0 em abril de 2025 na Solana, com apoio da Circle e da Solana Foundation, e apresentou uma reconstrução completa, com arquitetura permissionless e composable. O token PST atua como LP token líquido, carrega rendimento de estratégias de financiamento de pagamentos e integra protocolos como Jupiter, Kamino e RateX.
Após detectar o ataque, a equipe pausou todos os contratos V1 remanescentes na Polygon. A equipe afirma que a infraestrutura antiga já estava em fase final de desligamento quando o exploit ocorreu, o que limitou a exposição. Mesmo assim, o episódio expõe risco crônico: protocolos deixam códigos antigos online durante meses para acomodar saques pendentes.
O que isso significa para o investidor brasileiro
Para o usuário no Brasil, o caso reforça duas frentes de atenção. A primeira é operacional, quem ainda mantém posições em pools marcados como “legados” ou “em descontinuação” deve tratá-los com o mesmo cuidado dedicado a contratos não auditados mesmo quando o protocolo tem reputação consolidada. Plataformas de RWA e crédito on-chain têm proliferado, e parte delas roda em Polygon, rede ainda popular entre exchanges brasileiras que listam tokens DeFi.
A segunda é regulatória. Desde 2024, o Banco Central discute regras para prestadores virtuais, enquanto casos da Huma reforçam auditorias contínuas rígidas. A CVM acompanha projetos de tokenização de recebíveis, incluindo a Huma, que financia pagamentos reais com liquidez cripto.
O valor absoluto perdido é modesto se comparado a exploits que marcaram o ano como o ataque ao ecossistema Aave e movimentações de baleias em endereços ligados à Coreia do Norte. Mesmo assim, a recorrência de falhas em código herdado mantém o setor de empréstimos descentralizados sob escrutínio constante, especialmente em redes que servem como ponte para a economia das stablecoins.
