نقاط الضعف في التعليمات البرمجية القديمة تترك منصات التمويل اللامركزية تترنح، مع اختفاء ما يقرب من 606 مليون دولار في سلسلة من الانتهاكات البارزة هذا الشهر.

جدول المحتويات، تعرض Scallop، وهو أكبر بروتوكول إقراض لـ Sui، لاستغلال في 26 أبريل 2026، مما أدى إلى خسائر بقيمة 140 ألف دولار تقريبًا. استهدف الهجوم عقد مكافآت مهمل بدلاً من البروتوكول الأساسي نفسه. بعد الاختراق، قام فريق Scallop بتجميد العقود المتأثرة، وتحديد الثغرة الأمنية، واستعادة العمليات. ظلت ودائع المستخدم غير متأثرة طوال الحادث. يضيف هذا الحدث إلى قائمة متزايدة من عمليات استغلال DeFi المسجلة في أبريل 2026 وحده. ولم ينتهك استغلال Scallop البنية التحتية الرئيسية للبروتوكول. وبدلاً من ذلك، وجد المهاجم فتحة في عقد مكافآت قديم غير مستخدم. هذا التمييز مهم، لأنه يوضح كيف يمكن أن تصبح التعليمات البرمجية القديمة مسؤولية بمرور الوقت. غالبًا ما تقوم البروتوكولات بسحب مكونات معينة دون إزالتها بالكامل من الشبكة. 🚨 إشعار بالحادث الأمني ​​لقد حددنا استغلالًا يؤثر على عقد جانبي يتعلق بمجموعة مكافآت التخزين المؤقت sSUI الخاصة بـ Scallop، مما أدى إلى خسارة ما يقرب من 150 ألف SUI. تم تجميد العقد المتأثر. تظل عقودنا الأساسية آمنة وفقط مجموعة مكافآت sSUI... — Scallop (@Scallop_io) 26 أبريل 2026 أكملت Scallop تدقيقًا كاملاً أجرته مؤسسة Sui Foundation في فبراير 2025. وعلى الرغم من هذه المراجعة، ظل العقد المهمل بمثابة حلقة ضعيفة. أشار محلل العملات المشفرة Crypto Patel على X إلى أن "التدقيق لا يعني الأمان"، مشيرًا إلى Scallop وKelp DAO كأمثلة. خسرت شركة Kelp DAO مبلغ 292 مليون دولار على الرغم من اجتياز عمليتي تدقيق منفصلتين قبل اختراقها. استجاب فريق Scallop بسرعة من خلال عزل الخطأ وإيقاف العقود ذات الصلة مؤقتًا. استؤنفت العمليات بعد فترة وجيزة، حيث أكد الفريق عدم تعرض أموال المستخدمين للخطر. ساعدت الاستجابة السريعة في احتواء الضرر الذي لحق بالمكون الموقوف فقط. ومع ذلك، لفت الحادث الانتباه إلى كيفية استخدام العقود القديمة بشكل متزايد كوسيلة للهجوم. أصبح هذا النمط أكثر شيوعًا عبر نظام Sui البيئي في الأشهر الأخيرة. بدأ المطورون والباحثون الأمنيون في الإشارة إلى العقود غير المستخدمة باعتبارها مصدر قلق متزايد. تواجه البروتوكولات التي تترك المكونات المهملة نشطة دون إلغاء التنشيط المناسب مخاطر مرتفعة. تعتبر قضية Scallop بمثابة نقطة مرجعية عملية لتلك المحادثة المستمرة. لقد أثبت أبريل 2026 أنه شهر صعب بالنسبة لقطاع التمويل اللامركزي الأوسع. تجاوزت خسائر الصناعة 606 مليون دولار، مما يجعله أسوأ شهر منذ حادثة Bybit. يعد استغلال Scallop هو الاختراق الثالث عشر المسجل لـ DeFi هذا الشهر. يشير هذا التكرار إلى تحدي نظامي يواجه منصات التمويل اللامركزية. وشهدت شبكة Sui، على وجه الخصوص، حوادث متكررة خلال العام الماضي. خسرت Cetus DEX 223 مليون دولار في مايو 2025، تلتها خسارة Nemo Protocol 2.4 مليون دولار في سبتمبر 2025. وخسرت Volo Protocol 3.5 مليون دولار في 22 أبريل 2026، قبل أيام فقط من اختراق Scallop. تعكس هذه الحوادث نمط الضعف المتكرر عبر البروتوكولات المستندة إلى Sui. أصبحت إدارة المخاطر موضوعًا ملحًا بين المشاركين في التمويل اللامركزي. وأوصت شركة Crypto Patel بتجنب العقود المهملة وسحب المكافآت بانتظام بدلاً من تركها خاملة. إن توزيع الأموال عبر بروتوكولات متعددة بدلاً من تركيزها في منصة واحدة يقلل أيضًا من التعرض. إن مراقبة إعلانات البروتوكول الرسمية قبل إجراء الودائع تضيف طبقة أخرى من الحماية. يواصل مجتمع DeFi الأوسع دراسة كيفية تعزيز عمليات التدقيق. لا يضمن اجتياز التدقيق خلو البروتوكول من التعليمات البرمجية القابلة للاستغلال، خاصة في المكونات القديمة. أصبحت المراجعات الأمنية المستمرة التي تغطي العقود المهملة ممارسة موصى بها. من المرجح أن تشكل أحداث أبريل 2026 كيفية تعامل البروتوكولات مع إدارة دورة حياة العقد في المستقبل.