تعرض بروتوكول سكالوب لهجوم استغلال ثغرة في نظام القروض السريعة يوم الأحد. وبحسب التقارير، استولى المهاجم على حوالي 142 ألف دولار (150 ألف دولار سويسري) في هجوم يبدو أنه تلاعب دقيق وموجه ببيانات أوراكل. لم يؤثر هذا الهجوم علىtracالأساسية للبروتوكول، ولكنه كشف عن خلل تصميمي أعمق.
أفادت التقارير أن مهاجمًا استغل ثغرة فيtracجانبي قديم مرتبط بمجموعة مكافآت sSUI الخاصة بشركة Scallop. ويؤكد فريقهم على ضرورة الحفاظ على سلامة البروتوكول الأساسي وأن جميع ودائع المستخدمين آمنة. ومع ذلك، فإن الخسارة محصورة تمامًا في ذلك الجزء المعزول.
هل هو كود قديم أم خلل في أوراكل؟
يرى المحللون أن المشكلة الأساسية تكمن في التلاعب ببيانات أسعار أوراكل المخصصة لشركة سكالوب. وقد مكّن هذا المهاجم من خفض أسعار زوج العملات SUI/USDC بشكل مصطنع، واقتراض أصول بتلك الأسعار المشوهة. ثم قام بسداد القرض السريع ضمن نفس العملية. وفي النهاية، حصل المشتبه به على الفرق.
يتبع هذا نمط هجوم مألوف في مجال التمويل DeFi ؛ إلا أن التنفيذ في هذه الحالة كان دقيقًا بشكل غير معتاد. لم يستهدف المهاجم الكود النشط أو مسارات SDK القياسية، بل تفاعل معtracV2 قديم من نوفمبر 2023. كان هذا إصدارًا متبقيًا ولكنه لا يزال قابلاً للاستدعاء على سلسلة الكتل. تحافظ منصة Sui على جميع إصداراتtracالمنشورة غير قابلة للتغيير ويمكن الوصول إليها. لهذا السبب أصبحت هذه الحزمة القديمة ثغرة أمنية خفية.
سعر عملة Sui سلبًا بعد الثغرة الأمنية، بل ارتفع بنسبة تقارب 2% خلال الـ 24 ساعة الماضية. ويتم تداولها حاليًا بسعر 0.94 دولار أمريكي، بينما يبلغ حجم تداولها خلال الـ 24 ساعة الماضية حوالي 187 مليون دولار أمريكي.
أحد الخبراء في منشور له إلى أن الثغرة كانت دقيقة لكنها خطيرة. ففي العقد القديم trac لم يتم تهيئة متغير رئيسي يُدعى "last_index" عند إنشاء حساب جديد. وقد سمح هذا للمهاجم بالحصول على مكافآت كما لو كان يشارك في عملية التخزين منذ بداية المجمع.
مع ازدياد مؤشر المكافآت بمرور الوقت، تمكن المهاجم من إضافة كامل رصيد المكافآت لنفسه في معاملة واحدة. وذكر أن مؤشر Spool قد نما إلى 1.19 مليار خلال 20 شهرًا.
قام المهاجم برهن 136 ألف وحدة من عملة sSUI وحصل على 162 تريليون نقطة. مع ذلك، كان معدل صرف نقاط مجمع المكافآت 1:1 (البسط والمقام كلاهما يساوي 1)، لذا تحولت 162 تريليون نقطة مباشرةً إلى مكافآت بقيمة 162 ألف وحدة من عملة sSUI. لم يكن في المجمع سوى 150 ألف وحدة من عملة sSUI، وقد تم سحبها بالكامل.
تُظهر البيانات الموجودة على سلسلة الكتل أن الأموال المسروقة تم تحويلها بسرعة عبر خدمة خلط، على غرار خدمة Tornado Cash على شبكة Sui. وهذا يجعل عملية الاسترداد أكثر صعوبة.
عاد موقع سكالوب إلى الإنترنت بعد عملية الاختراق
استجاب فريق سكالوب بتعليق العمليات مؤقتًا. ثم أعلن عن إعادة تفعيلtracالأساسية واستئناف جميع العمليات. وأوضح منشور على منصة X أن المشكلة لم تكن متعلقة بالبروتوكول الأساسي، وإنما كانت محصورة فيtracمكافآت قديم. في النهاية، لم تتأثر عمليات الإيداع، وجميع الأموال آمنة. وتعمل عمليات السحب والإيداع الآن بشكل طبيعي.
🚨 تعرض سكالوب لهجوم استغلال قروض سريعة على منصة سوي، وخسر 142 ألف دولار في هجوم تلاعب ببيانات أوراكل
التفاصيل 👇
ماذا حدث؟
في 26 أبريل 2026، تعرض بروتوكول إقراض Scallop لثغرة أمنية في نظام الإقراض السريع استهدفتtracجانبيًا قديمًا مرتبطًا بمجموعة مكافآت sSUI الخاصة به
— صوفيا هودلبرغ (@sophiaHodlberg) ٢٦ أبريل ٢٠٢٦
أفادت التقارير أن المهاجم تواصل مع الفريق وعرض إعادة 80% من الأموال مقابل مكافأة مالية. ويجري التحقيق حاليًاdent ، وسيتحقق الفريق من كيفية اجتياز الثغرة لعمليات التدقيق السابقة التي أجرتها شركات مثل OtterSec وMoveBit.
Cryptopolitan أفادت التقارير dent الكبرى التي وقعت في أبريل 2026 لم تنجم عن منطق البروتوكول الأساسي، بل عن عقود trac محولات أو طبقات بنية تحتية قديمة لا تزال متاحة ولكن تم تجاهلها. تجاوزت الخسائر التراكمية 750 مليون دولار بحلول منتصف أبريل. وشهد شهر أبريل 2026 وحده سرقة أكثر من 600 مليون دولار من الأموال عبر 12 حادثة dent .
شكّلت منظمة Kelp DAO وبروتوكول Drift معًا ما يقارب 95% من خسائر شهر أبريل. أسفر الهجوم على Kelp عن ديون معدومة بقيمة 177 مليون دولار على Aave. في الوقت نفسه، نجح مجلس أمن Arbitrum في تجميد 30,766 إيثيريوم (بقيمة تقارب 71 مليون دولار) من الأموال المسروقة.
لا تزال Hyperliquid العملة الرقمية الأكبر في فئة DeFi . ارتفع سعر HYPE بنسبة 10% خلال الثلاثين يومًا الماضية، ويتداول حاليًا عند 41.95 دولارًا. Chainlink فتأتي في المرتبة الثانية من حيث السعر، حيث يتداول سعرها حاليًا عند حوالي 9.4 دولارًا.
