بروتوكول الإقراض اللامركزي على شبكة Sui Scallop نشر إعلانًا رسميًا عبر منصة X في 26 أبريل (يوم الأحد)، أكد تعرضه لهجوم عبر ثغرة، حيث استخرج المهاجم حوالي 150,000 من عملات SUI من عقد مكافآت مهجورة مرتبطة بـ sSUI spool. ووفقًا للإعلان الرسمي، فإن مجمع التمويل الأساسي وإيداعات المستخدمين لم تتأثر، وقد تم استئناف الإيداع والسحب، مع التأكيد على أن الشركة ستعوض بالكامل جميع الخسائر باستخدام أموال الشركة.
خط زمني للحدث ورد Scallop الرسمي
وفقًا لإعلان Scallop الرسمي على منصة X (بتوقيت 26 أبريل 12:50 UTC)، كان هدف الهجوم هو عقد المكافآت الفرعي الخاص بـ sSUI spool، وهو طبقة الحوافز الخاصة بإيداعات SUI في البروتوكول، وليس منطق الاقتراض الأساسي. قام فريق Scallop بتجميد العقود المتأثرة خلال دقائق من وقوع الحادث، وتم رفع تجميد العقد الأساسي بعد ساعتين، واستُعيدت عمليات السحب والإيداع في 14:42 UTC.
يذكر بيان Scallop الرسمي: «سيعوض Scallop جميع الخسائر بنسبة 100%».
تحليل تقني للثغرة: عدّاد last_index غير مُهيّأ في حزمة 2023 المهجورة
(المصدر: Vadim)
وفقًا لتحليل مستقل على السلسلة، كانت نقطة الدخول للهجوم هي حزمة V2 spool المهجورة التي نشرها Scallop في نوفمبر 2023، أي قبل أكثر من 17 شهرًا من حدوث هذا الهجوم. في البنية التقنية لشبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء.
حدد المهاجم عدّاد last_index غير مُهيّأ داخل الحزمة، ويُستخدم هذا العدّاد لتتبّع المكافآت التراكمية للمُراهنين. قام المهاجم برهن حوالي 136,000 من عملات sSUI، واعتبر النظام هذه الحصة كأنها كانت موجودة منذ أن بدأ spool في أغسطس 2023. ومع التراكم الأسي على مدار نحو 20 شهرًا، نمت قيمة مؤشر spool إلى حوالي 11.9 مليار، ما منح المهاجم حوالي 162 تريليون نقطة مكافآت، ثم تم تحويلها بنسبة 1:1 إلى 150,000 SUI.
يمكن الاستعلام عن سجلات المعاملات على السلسلة عبر قيمة التجزئة:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
سجل أحداث الثغرات الأخيرة في Sui DeFi
وفقًا لتقارير إعلامية منشورة، في أوائل أبريل 2026، حدث هجوم مماثل على بروتوكول Volo على شبكة Sui، وكانت أهداف الهجوم أيضًا عقودًا فرعية وليست منطق البروتوكول الأساسي، وكانت الخسائر حوالي 3.5 مليون دولار. بالإضافة إلى ذلك، وقبل وقوع الهجوم بأسبوع، حدثت عملية هجوم جسر على شبكة Ethereum، حيث تم سرقة إعادة تراهن لأصول سيولة غير مضمونة بقيمة نحو 292 مليون دولار.
اعتبارًا من وقت نشر هذا التقرير، لم يصدر كل من Sui Foundation و Mysten Labs بيانًا عامًا بشأن حدث Scallop. ووفقًا لشرح Scallop الرسمي، يعتزم البروتوكول إجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة حاليًا، على أن يكون جدول التدقيق قيد التحديد.
الأسئلة الشائعة
متى حدث هجوم الثغرة هذه وما حجم الخسائر؟
وفقًا لإعلان Scallop الرسمي على منصة X، وقع الهجوم في 26 أبريل 2026 (يوم الأحد) 12:50 UTC، حيث استخرج المهاجم حوالي 150,000 SUI من عقد مكافآت sSUI spool المهجور. لم تتأثر مجمع التمويل الأساسي للإقراض ولا إيداعات المستخدمين في أسواق أخرى.
ما الالتزامات الرسمية التي قدمها Scallop بخصوص هذا الهجوم؟
وفقًا لبيان Scallop الرسمي، قام البروتوكول بتجميد العقود المتأثرة في غضون دقائق بعد الهجوم، واستعاد جميع وظائف العمليات في 14:42 UTC (بعد نحو ساعتين من نشر الإعلان). وأكد Scallop أنه سيعوض جميع الخسائر بالكامل باستخدام أموال الشركة، وأن عوائد المستخدمين لن تتأثر، كما يخطط لإجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة.
ما هو السبب التقني الجذري لهذه الثغرة، وما علاقته بالبنية التقنية لشبكة Sui Network؟
وفقًا لتحليل مستقل على السلسلة، نشأت الثغرة عن عدّاد last_index غير مُهيّأ داخل حزمة V2 spool المهجورة التي تم نشرها في نوفمبر 2023. وعلى شبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء، مما مكن المهاجم من استغلال كود مهجور قبل أكثر من 17 شهرًا لاستخراج 150,000 SUI.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Aave Labs يقدم مقترحًا إلى Arbitrum: فك تجميد 30765 ETH لتعويض الضحايا
وفقًا للمقترح الذي نشرته Aave Labs في 25 أبريل في منتدى حوكمة Arbitrum، تطلب Aave Labs من منظمة اللامركزية المستقلة الخاصة بـ Arbitrum (DAO) فك تجميد 30,765 إيثر مرتبطة بهجوم Kelp DAO، وتحويل الأموال المذكورة إلى صندوق الإنعاش الخاص بـ «DeFi United»، وذلك لاستعادة دعم rsETH وتعويض حامليه.
MarketWhisperمنذ 1 س
Western Union to Launch USDPT Stablecoin in May, Introduces Digital Asset Network and Stable Card
Gate News message, April 27 — Western Union announced during its first-quarter earnings call on April 24 that its Solana-based stablecoin, USDPT, is in final preparation stages and is expected to launch next month. CEO and President Devin McGranahan stated: "It is no longer a question of if Western
GateNewsمنذ 1 س
Jupiter Lend ترفع حد الاقتراض JLP/JupUSD إلى $40 مليون
بوابة الأخبار، 27 أبريل — قامت Jupiter Lend بزيادة حد الاقتراض الخاص بها لـ JLP/JupUSD من $25 مليون إلى $40 مليون. يمكن للمستخدمين الآن الاقتراض بنسبة تصل إلى 85% من LTV أو إجراء عمليات تكرارية على JLP.
أعلنت البروتوكول عن التعديل عبر وسائل التواصل الاجتماعي
GateNewsمنذ 1 س
أعلنت Polymarket عن ترقية في 28 أبريل: سيتم ترحيل الأصول المرهونة إلى pUSD، وسيتم إيقاف التداول لمدة حوالي ساعة واحدة
وفقًا للإعلان الرسمي الذي نشره مطورو Polymarket في 27 أبريل على منصة X، ستقوم Polymarket في 28 أبريل الساعة 11:00 بتوقيت UTC ببدء ترقية شاملة للبنية التحتية للمنصة، وسيتم إيقاف التداول لمدة تقارب ساعة واحدة. وتشمل عملية الترقية هذه عقود تداول الجيل الجديد، وإعادة هيكلة دفتر الأوامر، بالإضافة إلى تقديم رمز الضمان الجديد pUSD، حيث سيتم نقل الأصول الضمانية الحالية في المنصة من USDC.e إلى pUSD.
MarketWhisperمنذ 1 س
Polymarket于4月28日升级平台,将抵押品从USDC.e迁移至pUSD
Gate 新闻消息,4月27日——Polymarket宣布将于2026年4月28日约19:00 UTC对其平台进行升级,在维护窗口期间交易将暂停约一小时。此次升级包括新一代交易合约 (CTF Exchange V2)、重建的订单簿
GateNewsمنذ 3 س
Curve 提出基于市场的恢复方案:用于 $700K CRV-long LlamaLend 市场中的坏账()
Gate News 消息,4 月 27 日——Curve 团队在 4 月 27 日披露了一项治理提案,旨在处理来自 CRV-long LlamaLend 市场、发生于 2025 年 10 月 10 日的约 $700,000 坏账。所提议的回收机制利用 CRV-long 质押金库资产的期权性:当 CRV 价格上涨时,金库价值上升,但价格下跌时不会遭受额外损失。
GateNewsمنذ 3 س
