Le protocole Huma Finance vient de subir une attaque surprise, perdant plus de 101 000 $ en USDC sur le réseau Polygon. Si le montant semble modeste, cet exploit met en lumière une faille massive et persistante dans l'écosystème DeFi. Découvrez pourquoi les anciens contrats intelligents continuent de représenter un risque majeur pour les investisseurs.
Le 11 mai 2026, l’écosystème de la finance décentralisée a de nouveau tremblé. En effet, une faille critique a permis à un attaquant de siphonner environ 101 400 $ en USDC et USDC.e depuis les pools de liquidité deHuma Finance sur le réseau Polygon. Selon les données on-chain, l’attaque a été exécutée en une seule transaction, exploitant une vulnérabilité logique plutôt qu’une faille cryptographique.
Depuis l’incident, la firme de sécurité Blockaid a révélé que le problème provenait de la fonction refreshAccount(). Ce bug permettait de modifier le statut d’un compte non autorisé en « GoodStanding », contournant ainsi toutes les étapes d’approbation. L’attaquant a pu vider les réserves sans déclencher la moindre alerte, provoquant un sentiment bearish temporaire autour de l’infrastructure vieillissante du protocole.
Cet exploit met en évidence un problème obstiné de la DeFi : la gestion des anciens smart contracts. L’attaque a ciblé les contrats V1 BaseCreditPool, une architecture obsolète que les développeurs étaient déjà en train de désactiver. Sur la blockchain, un contrat déployé reste actif indéfiniment, créant des « contrats zombies » qui deviennent des cibles de choix pour les hackers.
Heureusement, l’équipe de Huma Finance a rapidement réagi en mettant en pause tous les contrats V1 restants. Ils ont également confirmé que leur système V2, entièrement reconstruit sur la blockchain Solana, n’est absolument pas touché. Les fonds des utilisateurs sur cette nouvelle version, ainsi que le jeton PST, sont en sécurité. Cette transition technologique vers Solana prouve l’importance d’une architecture moderne pour éviter ce genre de catastrophes.
Par ailleurs, le token PST et la V2 complète sur Solana gère déjà ~179 M$ de liquidité et 13 milliards de volume). En effet, cela intervient dans un moment où Huma Finance est en pleine expansion.
Pour rappel, Huma Finance est le premier réseau PayFi (Payment Finance), une infrastructure DeFi qui permet aux entreprises et institutions d’accéder instantanément à des liquidités pour financer leurs paiements globaux (factures, cross-border payments, règlements cartes bancaires, etc.).
En somme, la blockchain tokenise les flux de paiements futurs pour offrir du crédit en temps réel tout en générant du rendement pour les fournisseurs de liquidité. En seulement 5 mois, le protocole a explosé avec près de 13 milliards $ de volume total de transactions (dont 6,55 milliards $ d’origination et 6,43 milliards $ de remboursements), 178,87 millions $ de liquidité active, 130,17 millions $ d’actifs PayFi et plus de 119 800 déposants. Ces chiffres impressionnants démontrent la forte adoption de cette nouvelle catégorie qui rapproche DeFi et finance traditionnelle.
Cet incident sur Polygon, survenant peu après d’autres attaques similaires, soulève des questions cruciales sur la sécurité globale de la DeFi. Alors que le marché espère un nouveau rallye et que de nombreux tokens visent un nouvel ATH, la persistance de ces vulnérabilités sur les anciennes versions pourrait freiner l’adoption institutionnelle.
De plus Huma Finance était en plein boom d’adoption. Il faudra espérer que cet incident n’aura pas trop d’impact pour la suite. La réaction rapide et efficace d’Huma est déjà un bon point. Mais la recrudescence des hacks dans la DeFi et des smarts contracts reste un grand questionnement pour le long terme.
Pour conclure, les développeurs doivent impérativement sécuriser ou détruire leurs anciens contrats avant de lancer de nouvelles itérations. Sans un nettoyage massif de ces failles historiques, d’autres protocoles pourraient voir leurs liquidités s’envoler du jour au lendemain. Vos cryptos sont-elles vraiment à l’abri sur des protocoles qui n’ont pas encore clôturé leurs anciennes versions ?
Sur le même sujet :
Sources :
Cet article est publié à titre indicatif et ne doit pas être considéré comme un conseil en investissement. Certains des partenaires présentés sur ce site peuvent ne pas être régulés dans votre pays. Il est de votre responsabilité de vérifier la conformité de ces services avec les régulations locales avant de les utiliser.
Attention aux risques : La négociation de crypto-monnaies et d’instruments financiers comporte des risques élevés, notamment la perte partielle ou totale de votre capital, et peut ne pas convenir à tous les investisseurs en raison de la forte volatilité des marchés et des facteurs économiques, politiques ou réglementaires pouvant influencer les prix. Avant d’investir, vous devez évaluer attentivement vos objectifs, votre niveau d’expérience et votre tolérance au risque, et consulter un conseiller financier indépendant si nécessaire. Les informations publiées sur InvestX.fr et sur l’application InvestX sont fournies à titre informatif et ne constituent pas des conseils en investissement. InvestX décline toute responsabilité concernant l’exactitude ou l’utilisation des informations diffusées, et rappelle que certains partenaires présentés sur le site peuvent ne pas être régulés dans votre juridiction, ce qu’il vous appartient de vérifier avant toute utilisation de leurs services.
