بروتوكول الإقراض اللامركزي على شبكة Sui Scallop نشر إعلانًا رسميًا عبر منصة X في 26 أبريل (يوم الأحد)، أكد تعرضه لهجوم عبر ثغرة، حيث استخرج المهاجم حوالي 150,000 من عملات SUI من عقد مكافآت مهجورة مرتبطة بـ sSUI spool. ووفقًا للإعلان الرسمي، فإن مجمع التمويل الأساسي وإيداعات المستخدمين لم تتأثر، وقد تم استئناف الإيداع والسحب، مع التأكيد على أن الشركة ستعوض بالكامل جميع الخسائر باستخدام أموال الشركة.
خط زمني للحدث ورد Scallop الرسمي
وفقًا لإعلان Scallop الرسمي على منصة X (بتوقيت 26 أبريل 12:50 UTC)، كان هدف الهجوم هو عقد المكافآت الفرعي الخاص بـ sSUI spool، وهو طبقة الحوافز الخاصة بإيداعات SUI في البروتوكول، وليس منطق الاقتراض الأساسي. قام فريق Scallop بتجميد العقود المتأثرة خلال دقائق من وقوع الحادث، وتم رفع تجميد العقد الأساسي بعد ساعتين، واستُعيدت عمليات السحب والإيداع في 14:42 UTC.
يذكر بيان Scallop الرسمي: «سيعوض Scallop جميع الخسائر بنسبة 100%».
تحليل تقني للثغرة: عدّاد last_index غير مُهيّأ في حزمة 2023 المهجورة
(المصدر: Vadim)
وفقًا لتحليل مستقل على السلسلة، كانت نقطة الدخول للهجوم هي حزمة V2 spool المهجورة التي نشرها Scallop في نوفمبر 2023، أي قبل أكثر من 17 شهرًا من حدوث هذا الهجوم. في البنية التقنية لشبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء.
حدد المهاجم عدّاد last_index غير مُهيّأ داخل الحزمة، ويُستخدم هذا العدّاد لتتبّع المكافآت التراكمية للمُراهنين. قام المهاجم برهن حوالي 136,000 من عملات sSUI، واعتبر النظام هذه الحصة كأنها كانت موجودة منذ أن بدأ spool في أغسطس 2023. ومع التراكم الأسي على مدار نحو 20 شهرًا، نمت قيمة مؤشر spool إلى حوالي 11.9 مليار، ما منح المهاجم حوالي 162 تريليون نقطة مكافآت، ثم تم تحويلها بنسبة 1:1 إلى 150,000 SUI.
يمكن الاستعلام عن سجلات المعاملات على السلسلة عبر قيمة التجزئة:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
سجل أحداث الثغرات الأخيرة في Sui DeFi
وفقًا لتقارير إعلامية منشورة، في أوائل أبريل 2026، حدث هجوم مماثل على بروتوكول Volo على شبكة Sui، وكانت أهداف الهجوم أيضًا عقودًا فرعية وليست منطق البروتوكول الأساسي، وكانت الخسائر حوالي 3.5 مليون دولار. بالإضافة إلى ذلك، وقبل وقوع الهجوم بأسبوع، حدثت عملية هجوم جسر على شبكة Ethereum، حيث تم سرقة إعادة تراهن لأصول سيولة غير مضمونة بقيمة نحو 292 مليون دولار.
اعتبارًا من وقت نشر هذا التقرير، لم يصدر كل من Sui Foundation و Mysten Labs بيانًا عامًا بشأن حدث Scallop. ووفقًا لشرح Scallop الرسمي، يعتزم البروتوكول إجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة حاليًا، على أن يكون جدول التدقيق قيد التحديد.
الأسئلة الشائعة
متى حدث هجوم الثغرة هذه وما حجم الخسائر؟
وفقًا لإعلان Scallop الرسمي على منصة X، وقع الهجوم في 26 أبريل 2026 (يوم الأحد) 12:50 UTC، حيث استخرج المهاجم حوالي 150,000 SUI من عقد مكافآت sSUI spool المهجور. لم تتأثر مجمع التمويل الأساسي للإقراض ولا إيداعات المستخدمين في أسواق أخرى.
ما الالتزامات الرسمية التي قدمها Scallop بخصوص هذا الهجوم؟
وفقًا لبيان Scallop الرسمي، قام البروتوكول بتجميد العقود المتأثرة في غضون دقائق بعد الهجوم، واستعاد جميع وظائف العمليات في 14:42 UTC (بعد نحو ساعتين من نشر الإعلان). وأكد Scallop أنه سيعوض جميع الخسائر بالكامل باستخدام أموال الشركة، وأن عوائد المستخدمين لن تتأثر، كما يخطط لإجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة.
ما هو السبب التقني الجذري لهذه الثغرة، وما علاقته بالبنية التقنية لشبكة Sui Network؟
وفقًا لتحليل مستقل على السلسلة، نشأت الثغرة عن عدّاد last_index غير مُهيّأ داخل حزمة V2 spool المهجورة التي تم نشرها في نوفمبر 2023. وعلى شبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء، مما مكن المهاجم من استغلال كود مهجور قبل أكثر من 17 شهرًا لاستخراج 150,000 SUI.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
أطلقت State Street وGalaxy صندوق SWEEP على شبكة Solana بالتعاون مع $200M Ondo Investment
وبحسب إعلان صدر يوم الثلاثاء، أطلقت State Street وGalaxy صندوق State Street Galaxy Onchain Liquidity Sweep Fund (SWEEP) على شبكة Solana، وهو مركبة استثمار مُرمّزة تمكن المستثمرين من تجميع العملات المستقرة في أصل يدر عائداً لإدارة نقدية على السلسلة طوال 24/7. Ondo Finance
GateNewsمنذ 3 د
مايكل سايلور يتراجع عن موقف “لن نبيع أبدًا”: استراتيجية أو بيع BTC لدفع أرباح الأسهم
أول مرة يُشير مايكل سايلور إلى أنه قد يكون مستعدًا لبيع البيتكوين بشكلٍ فعّال بهدف دفع أرباح للمساهمين، مما يُكسر وعده طويل الأمد الشهير بـ«عدم البيع مطلقًا». يتناول هذا المقال أسباب تحوّل موقفه وتأثير ذلك في السوق والاتجاهات اللاحقة.
GateInstantTrendsمنذ 3 د
ارتفاع بيتكوين مع توقعات تنشيط النظام البيئي على السلسلة المعتمد على STRC، 6 مايو
بحسب بارك سانغ-هيوك، رئيس التحرير في Digital Asset، ارتفع سعر بيتكوين في 6 مايو مع تزايد توقعات السوق بشأن تفعيل النظام البيئي على السلسلة الخاص بـ STRC التابع لـ Strategy. يُجرى تهيئة STRC، وهو رمز تفضيلي للعقود الدائمة من أكبر مالك لبيتكوين في العالم Strategy، بوصفه ضماناً
GateNewsمنذ 36 د
ارتفع Toncoin بنسبة 36% خلال 24 ساعة بعد أن استحوذت تيليجرام على شبكة TON وخفّضت الرسوم إلى 0.0005 دولار
وفقًا لمؤسس تيليغرام بافل دوروف، ارتفع Toncoin بنسبة 36% خلال 24 ساعة بعد أن أعلنت تيليغرام أنها ستتولى السيطرة التشغيلية المباشرة على The Open Network (TON)، مع استبدال مؤسسة TON. وارتفع الرمز إلى نحو 1.86 دولار، مسجلًا أعلى مستوى له في أربعة أشهر. وكانت
GateNewsمنذ 55 د
مشروع AI في منظومة WLFI من شركة WorldClaw يطلق نظام تشغيل للعاملين بالوكالة، دون الكشف عن العلامة التجارية: هل لا يزال بوسعه البيع مقابل 10,000 دولار؟
عائلة ترامب تُطلق مرة أخرى تحركات جديدة في مشروعها التشفيري World Liberty Financial (WLFI)، بالتعاون مع WorldClaw لإطلاق نموذج الذكاء الاصطناعي كمدخل موحد بعنوان WorldRouter. ويُروَّج له كمنصة للـوكلاء تهدف إلى دمج 300 نموذج ذكاء اصطناعي، وتصل أعلى باقات الدفع إلى ما يقارب 10 آلاف دولار، لكن الهدية المرفقة هي جهاز عتاد «غير مُعلن عن الشركة المصنّعة ونظام التشغيل»، ما أثار مخاوف لدى المراقبين.
@WorldClawAI is expanding access to AI and $WLFI plays a key role in the ecosystem. Users can access 300+ models with WorldRouter, and agents can
ChainNewsAbmediaمنذ 1 س
يطلق DeepBook سوقاً للتنبؤات على شبكة اختبار Sui
بحسب "فورسايت نيوز"، أطلقت DeepBook، وهي بروتوكول DeFi على سلسلة Sui، DeepBook Predict، وهو سوق تنبؤات، على شبكة الاختبار. تم تطويره بالتعاون مع خدمة تسعير الخيارات Block Scholes، ويدعم Predict الخيارات الثنائية، وخيارات الشراء (call)، وخيارات البيع (put)، وخيارات spread، إضافةً إلى الخيارات الممَ leveraged
GateNewsمنذ 1 س
