اختراق Scallop DeFi يسحب 150 ألف SUI من عقد مهمل
بروتوكول DeFi على شبكة Sui، Scallop، خسر 150 ألف SUI بسبب اختراق استهدف عقد مكافآت مهمل. بينما تظل العمليات الأساسية وأموال المستخدمين آمنة، يسلط هذا الحادث الضوء على المخاطر المرتبطة بالكود القديم في بيئات البلوك تشين غير القابلة للتغيير.
شهدت Scallop، وهي سوق مالية تعمل على شبكة Sui، اختراقًا كبيرًا خلال عطلة نهاية الأسبوع، مما أدى إلى خسارة ما يقرب من 150 ألف SUI. استهدف الهجوم عقد مكافآت مهمل مرتبط بـ sSUI spool الخاص بالبروتوكول، وهو آلية حوافز لمودعي SUI. والأهم من ذلك، ظلت مجمعات الإقراض والاقتراض الأساسية، إلى جانب جميع ودائع المستخدمين، دون تأثر وآمنة.
تم تسهيل الاختراق من خلال ثغرة أمنية في حزمة V2 spool تم نشرها في نوفمبر 2023، قبل أكثر من 17 شهرًا من الهجوم. على Sui، حزم الكود المنشورة غير قابلة للتغيير، مما يعني أن الإصدارات القديمة يمكن أن تظل قابلة للاستدعاء ما لم يتم تقييدها بشكل صريح حسب الإصدار. استغل المهاجم عداد last_index غير المهيأ داخل هذه الحزمة القديمة، مما أدى فعليًا إلى خداع النظام للاعتقاد بأنه تم تجميع كمية كبيرة من المكافآت، والتي تم بعد ذلك استردادها من مجمع المكافآت.
بينما تعهدت Scallop بسداد الأموال المسحوبة بالكامل من خزانتها واستأنفت العمليات الأساسية، فإن هذا الحادث بمثابة تذكير صارخ لتجار P2P. يمكن لمثل هذه الاختراقات، حتى لو كانت محصورة داخل بروتوكولات DeFi، أن تساهم في تحولات أوسع في معنويات السوق وأن تؤثر بشكل محتمل على الاستقرار المتصور للعملات المستقرة وأنظمتها البيئية الأساسية. قد يرى التجار الذين يعتمدون على الفروقات والحجم تقلبات إذا تذبذب ثقة المستثمرين في شبكات معينة أو تطبيقات DeFi.
يأتي هذا الاختراق في أعقاب نمط حديث لحوادث مماثلة على شبكة Sui، بما في ذلك خسارة في Volo Protocol، ويحدث بعد فترة وجيزة من اختراق جسر رئيسي على Ethereum. تؤكد الطبيعة المتكررة لهذه الهجمات، وخاصة تلك التي تستهدف الكود الطرفي أو المهمل، على التحديات المستمرة في أمان العقود الذكية وأهمية الإدارة الدقيقة للكود والتدقيق لجميع المشاركين في مجال العملات المشفرة، بما في ذلك أولئك الذين يسهلون تداولات P2P.