سوئی نیٹ ورک کو سکس فگر ایکسپلوئٹ کا نشانہ بنایا گیا، سکیلپ پروٹوکول کو ہیکرز کو $140,000 سے زیادہ کا نقصان

مندرجات کا جدول Sui نیٹ ورک، Scallop Protocol پر کام کرنے والے ایک DeFi قرض دینے والے پلیٹ فارم کو سیکورٹی کی خلاف ورزی کا سامنا کرنا پڑا جس کے نتیجے میں SUI ٹوکنز میں تقریباً$142,000 اتوار کو ایک میراثی انعامات کے سمارٹ کنٹریکٹ کے استحصال کے بعد چوری ہو گئے۔ 🚨 سیکیورٹی واقعہ کا نوٹس ہم نے اسکیلپ کے sSUI سپول ریوارڈز پول سے متعلق ضمنی معاہدے کو متاثر کرنے والے استحصال کی نشاندہی کی ہے، جس کے نتیجے میں تقریباً 150K SUI کا نقصان ہوا ہے۔ متاثرہ کنٹریکٹ منجمد کر دیا گیا ہے۔ ہمارے بنیادی معاہدے محفوظ رہتے ہیں اور صرف sSUI انعامات کا پول… — Scallop (@Scallop_io) اپریل 26، 2026 سیکیورٹی کا واقعہ 26 اپریل 2026 کو پیش آیا، جب اسکیلپ نے X (سابقہ ​​ٹویٹر) پر ایک اعلان کے ذریعے خلاف ورزی کو 12:50 UTC پر عام کیا۔ بنیادی پروٹوکول کے بنیادی ڈھانچے سے سمجھوتہ کرنے کے بجائے، مجرم نے اپنے حملے کو Scallop کے sSUI سپول سے منسلک ایک متروک معاون معاہدے پر مرکوز کیا — ایک انعامات کی تقسیم کا طریقہ کار جو SUI ٹوکن ڈپازٹرز کے لیے ڈیزائن کیا گیا ہے۔ کمزور سمارٹ کنٹریکٹ ایک V2 سپول پیکیج تھا جو نومبر 2023 میں تعینات کیا گیا تھا، جس سے استحصال کے وقت اس کی عمر 17 ماہ سے زیادہ تھی۔ سوئی نیٹ ورک پر، ایک بار تعیناتی کے بعد سمارٹ کنٹریکٹس ناقابل تغیر ہو جاتے ہیں۔ پچھلے ورژن فعال اور قابل رسائی رہتے ہیں جب تک کہ ڈویلپرز واضح ورژن پر مبنی رسائی کی پابندیوں کو نافذ نہیں کرتے ہیں۔ اس تعمیراتی خصوصیت نے میراثی معاہدے کو ایک استحصالی خطرے کے طور پر برقرار رہنے دیا۔ سیکورٹی کی اہم کمزوری "last_index" نامی غیر شروع شدہ متغیر پر مرکوز ہے۔ اس پیرامیٹر کو اسٹیکنگ سسٹم میں شرکاء کے لیے جمع شدہ انعامات کی نگرانی کے لیے ڈیزائن کیا گیا ہے۔ چونکہ نئے اکاؤنٹ کی تخلیق کے دوران اس متغیر کو کبھی بھی صحیح طریقے سے شروع نہیں کیا گیا تھا، اس لیے حملہ آور پول میں شامل ہو سکتا ہے اور انعامات نکال سکتا ہے گویا اس نے آغاز سے ہی حصہ لیا تھا۔ بدنیتی پر مبنی اداکار نے تقریباً 136,000 sSUI ٹوکنز داؤ پر لگا دیے۔ پچھلے 20 مہینوں میں، سپول انڈیکس تقریباً 1.19 بلین تک جمع ہو گیا تھا۔ اس تضاد نے حملہ آور کو تقریباً 162 ٹریلین انعامی پوائنٹس مختص کرنے کے قابل بنایا۔ چونکہ انعامات کی تقسیم کا نظام ون ٹو ون ایکسچینج ریشو پر چلتا تھا، اس لیے 150,000 SUI کا پورا بیلنس ایک ہی بلاک چین ٹرانزیکشن میں نکالا گیا۔ بلاکچین ریکارڈز لین دین کی ہیش 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL دکھاتے ہیں آن چین انخلا کی دستاویز کرتے ہوئے۔ چوری کے بعد، چوری شدہ اثاثوں کو سوئی پر پرائیویسی فوکسڈ مکسنگ پروٹوکول کے ذریعے تیزی سے منتقل کیا گیا، جس کا موازنہ ٹورنیڈو کیش سے کیا جا سکتا ہے، جس نے بازیابی کی کوششوں کو نمایاں طور پر پیچیدہ بنا دیا۔ اسکیلپ کی ڈیولپمنٹ ٹیم نے اس استحصال کا پتہ لگانے کے چند منٹوں کے اندر سمجھوتہ شدہ معاہدے کو منجمد کرنے کے لیے تیزی سے کام کیا۔ اہم بات یہ ہے کہ بنیادی قرض دینے اور قرض لینے کے بنیادی ڈھانچے کو معطل نہیں کیا گیا تھا۔ دیگر تمام اسکیلپ مارکیٹوں میں صارفین کے ذخائر مکمل طور پر محفوظ رہے۔ پروٹوکول کی قیادت نے تصدیق کی کہ وہ خزانے کے ذخائر کا استعمال کرتے ہوئے 100% مالی نقصان کو جذب کریں گے۔ اس واقعے کے نتیجے میں صارف کی پیداوار کی شرح میں کوئی کمی واقع نہیں ہوگی۔ 14:42 UTC تک، Scallop نے بنیادی معاہدوں کو دوبارہ فعال کر دیا تھا۔ ابتدائی خلاف ورزی سے دو گھنٹے سے بھی کم وقت میں معیاری واپسی اور ڈپازٹ کی فعالیت کو معمول کے مطابق بحال کر دیا گیا۔ اس کے بعد، حملہ آور نے ترقیاتی ٹیم کے ساتھ رابطہ شروع کیا، جس نے ایک منسلک فضل کے ساتھ وائٹ ہیٹ ہیکر کے طور پر پہچان کے بدلے میں چوری شدہ فنڈز کا 80% واپس کرنے کی تجویز پیش کی۔ ٹیم فی الحال اس بات کا جائزہ لے رہی ہے کہ OtterSec اور MoveBit کے ذریعے کیے گئے پچھلے سیکیورٹی آڈٹ کے دوران اس خطرے کا پتہ لگانے سے کیسے بچا گیا۔ سیکیورٹی کی یہ خلاف ورزی اس مہینے کے شروع میں Volo پروٹوکول کو نشانہ بنانے والے موازنہ کے استحصال کے بعد سامنے آئی ہے، جس کے نتیجے میں تقریباً 3.5 ملین ڈالر کا نقصان ہوا۔ دونوں واقعات نے بنیادی پروٹوکول میکانزم کے بجائے پیریفرل کنٹریکٹ انفراسٹرکچر کا استحصال کیا۔ اپریل 2026 میں سیکیورٹی کے 12 اہم واقعات میں $600 ملین سے زیادہ کرپٹو کرنسی چوری ہوئی ہے۔ اپریل کے وسط تک، اس مہینے کے مجموعی نقصانات $750 ملین سے تجاوز کر چکے تھے۔ Kelp DAO اور Drift Protocol مل کر اپریل کے کل نقصانات کے تقریباً 95% کی نمائندگی کرتے ہیں۔ Kelp حملے نے آزادانہ طور پر Aave قرض دینے کے پلیٹ فارم پر برا قرض میں $177 ملین پیدا کیا۔ اسکیلپ کی ٹیم نے ابھی تک واقعے کے بعد کا ایک جامع تجزیہ جاری کرنا ہے۔ انہوں نے تمام بقیہ لیگیسی کنٹریکٹ پیکجوں کے مکمل حفاظتی جائزہ کے منصوبوں کا اعلان کیا ہے۔ اس اشاعت تک، نہ تو سوئی فاؤنڈیشن اور نہ ہی میسٹین لیبز نے سیکیورٹی واقعے کے حوالے سے کوئی سرکاری بیان جاری کیا ہے۔