بروتوكول الإقراض اللامركزي على شبكة Sui Scallop نشر إعلانًا رسميًا عبر منصة X في 26 أبريل (يوم الأحد)، أكد تعرضه لهجوم عبر ثغرة، حيث استخرج المهاجم حوالي 150,000 من عملات SUI من عقد مكافآت مهجورة مرتبطة بـ sSUI spool. ووفقًا للإعلان الرسمي، فإن مجمع التمويل الأساسي وإيداعات المستخدمين لم تتأثر، وقد تم استئناف الإيداع والسحب، مع التأكيد على أن الشركة ستعوض بالكامل جميع الخسائر باستخدام أموال الشركة.
خط زمني للحدث ورد Scallop الرسمي
وفقًا لإعلان Scallop الرسمي على منصة X (بتوقيت 26 أبريل 12:50 UTC)، كان هدف الهجوم هو عقد المكافآت الفرعي الخاص بـ sSUI spool، وهو طبقة الحوافز الخاصة بإيداعات SUI في البروتوكول، وليس منطق الاقتراض الأساسي. قام فريق Scallop بتجميد العقود المتأثرة خلال دقائق من وقوع الحادث، وتم رفع تجميد العقد الأساسي بعد ساعتين، واستُعيدت عمليات السحب والإيداع في 14:42 UTC.
يذكر بيان Scallop الرسمي: «سيعوض Scallop جميع الخسائر بنسبة 100%».
تحليل تقني للثغرة: عدّاد last_index غير مُهيّأ في حزمة 2023 المهجورة
(المصدر: Vadim)
وفقًا لتحليل مستقل على السلسلة، كانت نقطة الدخول للهجوم هي حزمة V2 spool المهجورة التي نشرها Scallop في نوفمبر 2023، أي قبل أكثر من 17 شهرًا من حدوث هذا الهجوم. في البنية التقنية لشبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء.
حدد المهاجم عدّاد last_index غير مُهيّأ داخل الحزمة، ويُستخدم هذا العدّاد لتتبّع المكافآت التراكمية للمُراهنين. قام المهاجم برهن حوالي 136,000 من عملات sSUI، واعتبر النظام هذه الحصة كأنها كانت موجودة منذ أن بدأ spool في أغسطس 2023. ومع التراكم الأسي على مدار نحو 20 شهرًا، نمت قيمة مؤشر spool إلى حوالي 11.9 مليار، ما منح المهاجم حوالي 162 تريليون نقطة مكافآت، ثم تم تحويلها بنسبة 1:1 إلى 150,000 SUI.
يمكن الاستعلام عن سجلات المعاملات على السلسلة عبر قيمة التجزئة:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
سجل أحداث الثغرات الأخيرة في Sui DeFi
وفقًا لتقارير إعلامية منشورة، في أوائل أبريل 2026، حدث هجوم مماثل على بروتوكول Volo على شبكة Sui، وكانت أهداف الهجوم أيضًا عقودًا فرعية وليست منطق البروتوكول الأساسي، وكانت الخسائر حوالي 3.5 مليون دولار. بالإضافة إلى ذلك، وقبل وقوع الهجوم بأسبوع، حدثت عملية هجوم جسر على شبكة Ethereum، حيث تم سرقة إعادة تراهن لأصول سيولة غير مضمونة بقيمة نحو 292 مليون دولار.
اعتبارًا من وقت نشر هذا التقرير، لم يصدر كل من Sui Foundation و Mysten Labs بيانًا عامًا بشأن حدث Scallop. ووفقًا لشرح Scallop الرسمي، يعتزم البروتوكول إجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة حاليًا، على أن يكون جدول التدقيق قيد التحديد.
الأسئلة الشائعة
متى حدث هجوم الثغرة هذه وما حجم الخسائر؟
وفقًا لإعلان Scallop الرسمي على منصة X، وقع الهجوم في 26 أبريل 2026 (يوم الأحد) 12:50 UTC، حيث استخرج المهاجم حوالي 150,000 SUI من عقد مكافآت sSUI spool المهجور. لم تتأثر مجمع التمويل الأساسي للإقراض ولا إيداعات المستخدمين في أسواق أخرى.
ما الالتزامات الرسمية التي قدمها Scallop بخصوص هذا الهجوم؟
وفقًا لبيان Scallop الرسمي، قام البروتوكول بتجميد العقود المتأثرة في غضون دقائق بعد الهجوم، واستعاد جميع وظائف العمليات في 14:42 UTC (بعد نحو ساعتين من نشر الإعلان). وأكد Scallop أنه سيعوض جميع الخسائر بالكامل باستخدام أموال الشركة، وأن عوائد المستخدمين لن تتأثر، كما يخطط لإجراء تدقيق شامل لجميع حزم الإصدارات القديمة الموجودة.
ما هو السبب التقني الجذري لهذه الثغرة، وما علاقته بالبنية التقنية لشبكة Sui Network؟
وفقًا لتحليل مستقل على السلسلة، نشأت الثغرة عن عدّاد last_index غير مُهيّأ داخل حزمة V2 spool المهجورة التي تم نشرها في نوفمبر 2023. وعلى شبكة Sui Network، لا يمكن تغيير الحزم التي تم نشرها؛ ما لم يتم تعيين التحكم بالإصدارات بشكل صريح، تظل الإصدارات القديمة قابلة للاستدعاء، مما مكن المهاجم من استغلال كود مهجور قبل أكثر من 17 شهرًا لاستخراج 150,000 SUI.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
ويسترن يونيون (Western Union) — اجتماع تأكيد نتائج الربع الأول: سيتم إطلاق عملة مستقرة USDP في مايو
根据西联汇款(Western Union)于 4 月 24 日第一季财报电话会议的内容,西联汇款总裁兼执行长德文·麦克格拉纳汉(Devin McGranahan)确认,公司的 USDPT 稳定币目前已进入最后准备阶段,预计于 5 月正式上线。
MarketWhisperمنذ 12 د
سُون يوتشن يطلق على TRON اسم أول شبكة مقاومة للهجمات الكمية على مستوى العالم، وسيتم إطلاق الشبكة الرئيسية في الربع الثالث من عام 2026
مؤسس TRON، سون يوتشينغ، نشر في 26 أبريل على X إعلانًا يفيد بأن TRON يخطط لتمكين ميزة مقاومة الهجمات الكمية على شبكة الاختبار في الربع الثاني، بينما يجري التخطيط لإطلاق الشبكة الرئيسية في الربع الثالث. أطلق سون يوتشينغ في المنشور على خطة الترقية هذه اسم "أول شبكة عالمية مقاومة للهجمات الكمية". على الرغم من أن التهديدات الكمية لا تزال حتى الآن في المقام الأول على المستوى النظري، فقد أعلنت Ethereum وSolana وغيرها بالفعل عن خطط أو جداول ترقية التشفير بعد الكم (PQC).
MarketWhisperمنذ 19 د
تجاوزت حملة DeFi United في جمع التبرعات 10.2 ألف وحدة ETH، وارتد AAVE إلى 100 دولار
وفقًا للصفحة الرسمية لـ DeFi United، فإن صندوق الإنقاذ متعدد البروتوكولات DeFi United، الذي أُطلق بمبادرة يقودها مزود خدمة Aave، قد جمع حتى 27 أبريل أكثر من 10.2万枚 ETH، بهدف سد فجوة الذمم المعدومة الناتجة عن سوق Aave V3 بعد حادثة هجوم ربط عبر الجسر التي وقعت في 18 أبريل من قبل Kelp DAO. اختُرق سعر AAVE لفترة وجيزة حاجز 100 دولار ثم تراجع.
MarketWhisperمنذ 1 س
Vcitychain 自研共识系统的 DPoS 主网正式上线
Gate News 消息,4月27日——Vcitychain 这款商用级区块链今日正式上线其 DPoS 主网,并切换至由自研的委托权益证明 (DPoS) 共识系统。
此次升级旨在提升网络性能、增强去中心化,并改善链上 g
GateNewsمنذ 1 س
ApeCoin 在黑胡子的赏金(Blackbeard's Bounty)第 3 季结束后将游戏控制权转交给社区
Gate News 消息,4 月 27 日——ApeCoin 宣布,黑胡子的赏金(Blackbeard's Bounty)任务赛季已正式结束,尽管用户创建并完成赏金任务的能力仍将保持有效。随着赛季的结束,游戏控制权正转移至社区,未来的开发方向将由玩家决定。该项目鼓励持续参与生态建设与内容创作。
APE 代币近期表现出更高的波动性,过去七天内上涨 49.66%,目前交易价格为 $0.1508。目前的流通供应量为 752.65 million APE,对应市值为 $114.22 million。在过去 24 小时内,APE 永续合约的交易量约为 $204.68 million,而未平仓头寸总计约为 $64.12 million,反映出市场杠杆水平仍在持续调整。
GateNewsمنذ 1 س
FLOA Ecosystem Launches FloaClaw AI Suite With Multi-Scenario Skill Matrix
خبر من Gate,4月 27日——FLOA 生态系统已正式上线 FloaClaw,这是其核心 AI 工具套件,提供多场景 AI 技能矩阵。FloaClaw 的功能访问权限仅限 3 级及以上的 Agent 用户。
FloaClaw 采用基于代币的系统,用户购买计算能力代币 BNB 支撑 来消耗 [AI 技能]https://www.gate.com/zh/skills-hub,,消耗会根据任务复杂度进行扩展。平台计划持续扩展新的 AI 技能和工具模块。FLOA 还将引入创作者收入分成系统,让 Agent 创作者能够从用户技能消耗中获得计算能力代币分成,并提供一键式 BNB 提现支持,以构建可持续的创作者经济。
FLOA 是一个智能 Web3 Agent 生态平台,建立在 BNB Chain 上,结合数据分析和链上自动化能力,并配备开放的激励机制,旨在赋能用户并推动生态系统增长。
GateNewsمنذ 1 س
