تعرض بروتوكول Scallop لهجوم استغلال القرض السريع (Flash Loan) يوم الأحد. استنزف المهاجم حوالي 142,000 دولار (150,000 عملة SUI) فيما يبدو أنه هجوم متقن لمعالجة أسعار الأوراكل. هذا الهجوم لم يمس العقود الأساسية للبروتوكول، لكنه كشف عن عيب في التصميم.
تفاصيل الاختراق: عقد قديم وثغرة في الأسعار
استغل المهاجم عقدًا جانبيًا قديمًا مرتبطًا بمجموعة مكافآت sSUI الخاصة ببروتوكول Scallop. وأكد الفريق أن البروتوكول الأساسي لا يزال سليمًا وأن جميع ودائع المستخدمين آمنة. الخسارة محصورة بالكامل في ذلك الجزء المنعزل.
هل المشكلة في الكود القديم أم في معالجة الأسعار؟
يشير المحللون إلى أن المشكلة الأساسية كانت التلاعب بأسعار الأوراكل المخصصة لبروتوكول Scallop. سمح هذا للمهاجم بخفض سعر زوج SUI/USDC بشكل مصطنع، ثم اقتراض أصول بهذه الأسعار المشوهة. بعد ذلك، قام بسداد القرض السريع في نفس المعاملة. وفي النهاية، خرج المشتبه به بالفارق.
يتبع هذا نمط هجمات التمويل اللامركزي (DeFi) المعتاد، لكن التنفيذ في هذه المرة كان دقيقًا بشكل غير عادي. لم يستهدف المهاجم الكود النشط أو مسارات التطوير (SDK) القياسية. بل تعامل مع عقد قديم من الإصدار V2 يعود إلى نوفمبر 2023. هذا الإصدار كان مهملاً لكنه ظل قابلاً للتنفيذ على السلسلة. سلسلة Sui تجعل جميع عقود الإصدارات المنشورة غير قابلة للتغيير ومتاحة دائمًا، مما جعل هذه الحزمة القديمة سطح هجوم مخفيًا.
سعر عملة SUI لم يتأثر
لم يتأثر سعر عملة Sui بعد هذا الاختراق. ارتفع سعرها بنحو 2% في آخر 24 ساعة. يتم تداول Sui حاليًا عند 0.94 دولار وقت كتابة هذا التقرير. يبلغ حجم التداول اليومي حوالي 187 مليون دولار.
كيف حدث الاختراق بالضبط؟
ذكر خبير في منشور أن العيب نفسه كان دقيقًا لكنه خطير. في العقد القديم، لم يتم تهيئة متغير رئيسي يسمى “last_index” عند إنشاء حساب جديد. سمح هذا للمهاجم بالمطالبة بالمكافآت كما لو كان يشارك في التعدين منذ بداية المجمع.
مع نمو مؤشر المكافآت بمرور الوقت، تمكن المهاجم من إضافة رصيد لنفسه يعادل مجمع المكافآت بأكمله في معاملة واحدة. ذكر أن مؤشر Spool نما ليصل إلى 1.19 مليار نقطة على مدار 20 شهرًا. قام المهاجم بتجميد 136 ألف sSUI وحصل على رصيد قدره 162 تريليون نقطة. ومع ذلك، كان مجمع المكافآت يعمل بسعر صرف 1:1 (البسط والمقام كلاهما = 1)، لذلك تحولت 162 تريليون نقطة مباشرة إلى مكافآت بقيمة 162 ألف SUI. المجمع كان يحتوي فقط على 150 ألف SUI، وتم استنزافها جميعًا.
تظهر بيانات السلسلة أن الأموال المسروقة تم تحويلها بسرعة عبر خدمة خلط مشابهة لـ Tornado Cash على Sui. وهذا يجعل استردادها أكثر صعوبة.
بروتوكول Scallop يعود للعمل بعد الاختراق
استجاب فريق Scallop بإيقاف العمليات مؤقتًا، ثم أفاد بإلغاء تجميد العقود الأساسية واستئناف جميع العمليات. أبرز منشور على منصة X أن المشكلة لا تتعلق بالبروتوكول الأساسي وكانت محصورة في عقد مكافآت قديم. في النهاية، لم تتأثر ودائع المستخدمين وجميع الأموال آمنة. عمليات السحب والإيداع تعمل الآن بشكل طبيعي.
تواصل المهاجم مع الفريق وعرض إعادة 80% من الأموال مقابل مكافأة “القبعة البيضاء” (White-hat). التحقيق في الحادث مستمر الآن. سيتحقق الفريق من كيفية تجاوز هذا العيب لعمليات التدقيق السابقة من قبل شركات مثل OtterSec وMoveBit.
خسائر أبريل تتجاوز 750 مليون دولار
أفادت Cryptopolitan أن العديد من الحوادث الكبرى في أبريل 2026 لم تأتِ من منطق البروتوكول الأساسي. بل ظهرت من عقود قديمة أو واجهات أو طبقات بنية تحتية لا تزال متاحة ولكنها مهملة. تجاوزت الخسائر التراكمية 750 مليون دولار بحلول منتصف أبريل. شهر أبريل 2026 وحده شهد سرقة أكثر من 600 مليون دولار عبر 12 حادثة رئيسية.
بروتوكول Kelp DAO وDrift Protocol مسؤولان معًا عن حوالي 95% من خسائر أبريل. أدى الهجوم على Kelp إلى ديون معدومة بقيمة 177 مليون دولار على منصة Aave. في الوقت نفسه، نجح مجلس الأمن في Arbitrum في تجميد 30,766 إيثر (بقيمة 71 مليون دولار تقريبًا) من الأموال المسروقة.
لا يزال Hyperliquid هو الرمز الأكبر في فئة التمويل اللامركزي (DeFi). ارتفع سعر HYPE بنسبة 10% في آخر 30 يومًا. يتم تداوله عند 41.95 دولار وقت كتابة التقرير. Chainlink يحتل المركز الثاني، حيث يتم تداول LINK حول 9.4 دولار.
الأسئلة الشائعة (FAQs)
- س: هل فقدت أموالي في هجوم Scallop Protocol؟
ج: لا، أكد فريق Scallop أن جميع ودائع المستخدمين آمنة وأن الخسارة محصورة في عقد مكافآت قديم ومنعزل. البروتوكول الأساسي لم يتأثر وعمليات السحب والإيداع تعمل بشكل طبيعي. - س: كيف تمكن المهاجم من استنزاف 142,000 دولار من Scallop؟
ج: استغل المهاجم عقدًا قديمًا (V2) لم يتم تحديثه منذ نوفمبر 2023. وجد ثغرة في متغير “last_index” غير المُهيأ، مما سمح له بالمطالبة بمكافآت ضخمة عن طريق التلاعب بأسعار الأوراكل وسداد قرض سريع في نفس المعاملة. - س: هل أثر هذا الاختراق على سعر عملة Sui (SUI)؟
ج: لا، لم يتأثر سعر Sui سلبًا. بل ارتفع بنسبة 2% خلال الـ24 ساعة التالية للهجوم، ويتم تداوله حاليًا عند حوالي 0.94 دولار.
