اتفاقية إقراض DeFi على شبكة Sui، بروتوكول Scallop، قامت بنشر إشعار بواقعة أمنية على حسابها الرسمي في X (@Scallop_io)، مؤكدةً أن المنصة تعرضت لهجوم. يذكر Scallop أن الفريق وجد عقدًا جانبيًا (side contract) مرتبطًا بحوض مكافآت sSUI spool تم استغلاله، ما أدى إلى خسارة نحو 150 ألف SUI. يؤكد Scallop أنه تم تجميد العقد المتأثر، وأن العقد الأساسي لا يزال آمنًا، وأن الأمر اقتصر على حوض مكافآت sSUI.
في التحديثات اللاحقة، أوضح Scallop كذلك: «تم فك تجميد العقد الأساسي، واستُعيدت جميع العمليات. لا علاقة لهذه المشكلة بالبروتوكول الأساسي، بل تقتصر على عقد مكافآت تم إهماله. لم تتأثر ودائع المستخدمين، وجميع الأموال آمنة، ووظائف الإيداع والسحب تعمل بشكل طبيعي مجددًا.» تعهد الفريق بمشاركة المزيد من التفاصيل، مع الاستمرار في المراقبة وتعزيز أمان البروتوكول.
عضو سابق في NEAR Vadim: المشكلة ناجمة عن حزمة قديمة قبل 17 شهرًا
وفيما يتعلق بهذه الحادثة، نشر المطور الأساسي السابق في NEAR Vadim (@zacodil) تحليلًا تقنيًا عميقًا على X، كاشفًا تفاصيل الثغرة. أشار Vadim إلى أن المهاجم كان يعرف بدقة أي استدعاء لحزمة مهملة كان ينبغي استخدامه. «ليس الكود الجاري تشغيله، وليس مسار SDK، بل نسخة قديمة V2 من نوفمبر 2023 تم تركها دون استخدام لعدة أشهر. إمّا أن يكون الأمر ناتجًا عن هندسة عكسية متعمقة، أو أن هناك من كان يعرف مسبقًا أين يبحث. وقد ظلت هذه الثغرة كامنة لمدة 17 شهرًا.
يشرح Vadim أن spool يتتبع فهرسًا يزداد مع تخصيص المكافآت. عند قيام كل حساب مستخدم بالإيداع (staking)، كان من المفترض تسجيل last_index في ذلك الوقت، بحيث تكون معادلة حساب النقاط التي يتم كسبها هي: كمية الإيداع × (current_index − last_index)، وأن المستخدم يمكنه فقط كسب المكافآت من وقت الانضمام فصاعدًا.
لكن في حزمة V2 المهملة، عند إنشاء spool_account جديد بالكامل، لم يتم تهيئة last_index وظل كما هو عند 0. لذلك عند تنفيذ update_points تصبح نتيجة الحساب: النقاط = كمية الإيداع × (current_index − 0) = كمية الإيداع × الفهرس التاريخي الكامل. يتم تسجيل المستخدم باعتباره قد تراكمت لديه جميع المكافآت منذ إنشاء spool في أغسطس 2023.
قدم Vadim بيانات محددة: نما فهرس spool خلال 20 شهرًا إلى 1.19 مليار. قام المهاجم بإيداع 136 ألف sSUI، فحصل فورًا على تسجيل 162 تريليون نقطة. وبما أن حوض المكافآت يعتمد نسبة تحويل 1:1 (البسط والمقام كلاهما 1)، فإن 162 تريليون نقطة تتحول مباشرة إلى مكافآت بقيمة 162 ألف SUI. لكن حوض المكافآت يحتوي فقط على 150 ألف SUI، لذا تم سحبه بالكامل.
جميع حوادث أمان السلسلة على مستوى أبريل وقعت في الأنظمة الطرفية المحيطة
يشرح Vadim أن المستخدمين العاديين يستخدمون الحزمة الجديدة عبر SDK، وقد تم إصلاح مشكلة مزامنة last_index في الحزمة الجديدة. أما لماذا ظلت حزمة V2 القديمة على السلسلة، فذلك لأن حزم Sui غير قابلة للتغيير (immutable). — بمجرد نشرها، ستظل كل نسخة قديمة قابلة للاستدعاء إلى الأبد. يستقبل كل من كائنَي Spool وRewardsPool المشتركان عمليات استدعاء من أي نسخة. يتجاوز المهاجم SDK ويستهدف مباشرة مسار كود النسخة القديمة.
يصنف Vadim ذلك على أنه «ثغرة من نوع حزم Sui القديمة المنسية». ويشير إلى أن طريقة الإصلاح الصحيحة تتطلب إضافة حقل إصدار إلى الكائن المشترك، وإدراج فحص assert!(version == CURRENT_VERSION) في كل دالة. بدون هذا الآلية، ستظل كل نسخة من الحزمة التي تم نشرها في الماضي سطح هجوم حيًا إلى الأبد.
ويشير Vadim كذلك إلى أن معظم حوادث الهجوم في هذا الشهر لم تقع في كود البروتوكول الأساسي نفسه، بل في الأنظمة الطرفية:
KelpDAO: البنية التحتية لـ RPC
Litecoin: طبقة الخصوصية MWEB
Aethir: التحكم بالوصول إلى المبدلات الطرفية
Scallop: حزمة قديمة تم نسيانها
هذه المقالة عن هجوم على بروتوكول إقراض DeFi على شبكة Sui Scallop، حيث أدت ثغرة في العقد القديم إلى سرقة 150 ألف SUI، ظهرت لأول مرة على أخبار السلسلة ABMedia.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
开发者提议将比特币硬分叉至 eCash(1:1 分配),引发关于中本聪地址分配的争论
Gate News رسالة,4月27日——根据 CoinDesk 报道,开发者 Paul Sztorc 提出了一项定于 2026 年 8 月、在区块高度 964,000 处进行的比特币硬分叉,以创建一条名为 eCash 的新区块链。该分叉将以 1:1 的比例向持有 BTC 的用户分发 eCash,并引入 Drivechains
GateNewsمنذ 27 د
ويسترن يونيون (Western Union) — اجتماع تأكيد نتائج الربع الأول: سيتم إطلاق عملة مستقرة USDP في مايو
根据西联汇款(Western Union)于 4 月 24 日第一季财报电话会议的内容,西联汇款总裁兼执行长德文·麦克格拉纳汉(Devin McGranahan)确认,公司的 USDPT 稳定币目前已进入最后准备阶段,预计于 5 月正式上线。
MarketWhisperمنذ 1 س
سُون يوتشن يطلق على TRON اسم أول شبكة مقاومة للهجمات الكمية على مستوى العالم، وسيتم إطلاق الشبكة الرئيسية في الربع الثالث من عام 2026
مؤسس TRON، سون يوتشينغ، نشر في 26 أبريل على X إعلانًا يفيد بأن TRON يخطط لتمكين ميزة مقاومة الهجمات الكمية على شبكة الاختبار في الربع الثاني، بينما يجري التخطيط لإطلاق الشبكة الرئيسية في الربع الثالث. أطلق سون يوتشينغ في المنشور على خطة الترقية هذه اسم "أول شبكة عالمية مقاومة للهجمات الكمية". على الرغم من أن التهديدات الكمية لا تزال حتى الآن في المقام الأول على المستوى النظري، فقد أعلنت Ethereum وSolana وغيرها بالفعل عن خطط أو جداول ترقية التشفير بعد الكم (PQC).
MarketWhisperمنذ 1 س
تجاوزت حملة DeFi United في جمع التبرعات 10.2 ألف وحدة ETH، وارتد AAVE إلى 100 دولار
وفقًا للصفحة الرسمية لـ DeFi United، فإن صندوق الإنقاذ متعدد البروتوكولات DeFi United، الذي أُطلق بمبادرة يقودها مزود خدمة Aave، قد جمع حتى 27 أبريل أكثر من 10.2万枚 ETH، بهدف سد فجوة الذمم المعدومة الناتجة عن سوق Aave V3 بعد حادثة هجوم ربط عبر الجسر التي وقعت في 18 أبريل من قبل Kelp DAO. اختُرق سعر AAVE لفترة وجيزة حاجز 100 دولار ثم تراجع.
MarketWhisperمنذ 2 س
Vcitychain 自研共识系统的 DPoS 主网正式上线
Gate News 消息,4月27日——Vcitychain 这款商用级区块链今日正式上线其 DPoS 主网,并切换至由自研的委托权益证明 (DPoS) 共识系统。
此次升级旨在提升网络性能、增强去中心化,并改善链上 g
GateNewsمنذ 2 س
ApeCoin 在黑胡子的赏金(Blackbeard's Bounty)第 3 季结束后将游戏控制权转交给社区
Gate News 消息,4 月 27 日——ApeCoin 宣布,黑胡子的赏金(Blackbeard's Bounty)任务赛季已正式结束,尽管用户创建并完成赏金任务的能力仍将保持有效。随着赛季的结束,游戏控制权正转移至社区,未来的开发方向将由玩家决定。该项目鼓励持续参与生态建设与内容创作。
APE 代币近期表现出更高的波动性,过去七天内上涨 49.66%,目前交易价格为 $0.1508。目前的流通供应量为 752.65 million APE,对应市值为 $114.22 million。在过去 24 小时内,APE 永续合约的交易量约为 $204.68 million,而未平仓头寸总计约为 $64.12 million,反映出市场杠杆水平仍在持续调整。
GateNewsمنذ 2 س
