Cryptonews

تعرضت شبكة Sui لاستغلال مكون من ستة أرقام، وخسر بروتوكول Scallop أكثر من 140 ألف دولار للقراصنة

المصدر
cryptonewstrend.com
نُشر في
تعرضت شبكة Sui لاستغلال مكون من ستة أرقام، وخسر بروتوكول Scallop أكثر من 140 ألف دولار للقراصنة

جدول المحتويات عانت منصة إقراض DeFi العاملة على Sui Network، Scallop Protocol، من اختراق أمني أدى إلى سرقة ما يقرب من 142000 دولار من رموز SUI يوم الأحد بعد استغلال عقد ذكي للمكافآت القديمة. 🚨 إشعار بالحادث الأمني ​​لقد حددنا استغلالًا يؤثر على عقد جانبي يتعلق بمجموعة مكافآت التخزين المؤقت sSUI الخاصة بـ Scallop، مما أدى إلى خسارة ما يقرب من 150 ألف SUI. تم تجميد العقد المتأثر. تظل عقودنا الأساسية آمنة وفقط مجموعة مكافآت sSUI . وبدلاً من المساس بالبنية التحتية الأساسية للبروتوكول، ركز مرتكب الجريمة هجومه على عقد مساعد قديم متصل بمخزن sSUI الخاص بـ Scallop - وهي آلية توزيع مكافآت مصممة لمودعي SUI Tokens. كان العقد الذكي الضعيف عبارة عن حزمة تخزين مؤقت V2 تم نشرها في نوفمبر 2023، مما جعل عمرها أكثر من 17 شهرًا في وقت الاستغلال. على شبكة Sui، تصبح العقود الذكية غير قابلة للتغيير بمجرد نشرها. تظل الإصدارات السابقة نشطة ويمكن الوصول إليها ما لم يطبق المطورون قيودًا صريحة على الوصول تعتمد على الإصدار. سمحت هذه الخاصية المعمارية للعقد القديم بالاستمرار باعتباره ثغرة أمنية قابلة للاستغلال. تركزت نقطة الضعف الأمنية الخطيرة على متغير غير مهيأ يسمى "last_index". تم تصميم هذه المعلمة لمراقبة المكافآت المتراكمة للمشاركين في نظام التوقيع المساحي. نظرًا لأنه لم تتم تهيئة هذا المتغير بشكل صحيح أثناء إنشاء حساب جديد، فيمكن للمهاجم الانضمام إلى المجموعة واستخراج المكافآت كما لو كانوا قد شاركوا منذ البداية. قام الممثل الخبيث بإيداع ما يقرب من 136000 رمز sSUI. على مدار العشرين شهرًا السابقة، تراكم مؤشر التخزين المؤقت إلى ما يقرب من 1.19 مليار. وقد مكّن هذا التناقض المهاجم من تخصيص ما يقرب من 162 تريليون نقطة مكافأة لأنفسهم. نظرًا لأن نظام توزيع المكافآت يعمل على نسبة تبادل واحد إلى واحد، فقد تم استخراج الرصيد الكامل البالغ 150.000 SUI في معاملة blockchain واحدة. تُظهر سجلات Blockchain تجزئة المعاملة 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL التي توثق السحب على السلسلة. بعد السرقة، تم نقل الأصول المسروقة بسرعة من خلال بروتوكول خلط يركز على الخصوصية على Sui، مشابه لـ Tornado Cash، مما أدى إلى تعقيد جهود الاسترداد بشكل كبير. تصرف فريق تطوير Scallop بسرعة لتجميد العقد المخترق في غضون دقائق من اكتشاف الاستغلال. والأهم من ذلك، لم يتم تعليق البنية التحتية الأساسية للإقراض والاقتراض. ظلت ودائع العملاء في جميع أسواق Scallop الأخرى محمية بالكامل. وأكدت قيادة البروتوكول أنها ستستوعب 100% من الخسارة المالية باستخدام احتياطيات الخزينة. لن يحدث أي انخفاض في معدلات إنتاجية المستخدم نتيجة لهذا الحادث. بحلول الساعة 14:42 بالتوقيت العالمي، أعاد Scallop تنشيط العقود الأولية. تمت استعادة وظيفة السحب والإيداع القياسية إلى التشغيل الطبيعي في أقل من ساعتين من الاختراق الأولي. بعد ذلك، بدأ المهاجم الاتصال بفريق التطوير، واقترح إعادة 80% من الأموال المسروقة مقابل الاعتراف به كهاكر ذو قبعة بيضاء مع مكافأة مرتبطة به. يقوم الفريق حاليًا بفحص كيفية تجنب اكتشاف هذه الثغرة الأمنية أثناء عمليات التدقيق الأمني ​​السابقة التي أجرتها OtterSec وMoveBit. ويأتي هذا الاختراق الأمني ​​في أعقاب ثغرة مماثلة استهدفت بروتوكول Volo في وقت سابق من هذا الشهر، مما أدى إلى خسائر بقيمة 3.5 مليون دولار تقريبًا. استغل كلا الحادثين البنية التحتية للعقد المحيطي بدلاً من آليات البروتوكول الأساسية. شهد أبريل 2026 عمليات سرقة عملات مشفرة بقيمة تزيد عن 600 مليون دولار عبر 12 حادثًا أمنيًا كبيرًا. وبحلول منتصف أبريل/نيسان، تجاوزت الخسائر التراكمية لهذا الشهر 750 مليون دولار. يمثل Kelp DAO وDrift Protocol معًا ما يقرب من 95% من إجمالي الخسائر في أبريل. أدى هجوم Kelp بشكل مستقل إلى توليد ديون معدومة بقيمة 177 مليون دولار على منصة الإقراض Aave. لم يصدر فريق Scallop بعد تحليلاً شاملاً لما بعد الحادث. لقد أعلنوا عن خطط لإجراء مراجعة أمنية شاملة لجميع حزم العقود القديمة المتبقية. اعتبارًا من هذا المنشور، لم تصدر مؤسسة Sui ولا Mysten Labs بيانًا رسميًا بخصوص الحادث الأمني.