خسر Scallop Protocol مبلغ 142 ألف دولار في هجوم قرض سريع مدمج مع التلاعب بأوراكل

تعرّض Scallop Protocol لاستغلال قرض فوري يوم الأحد. وبحسب التقارير، استنزف المهاجم ما يقارب 142,000 دولار (150,000 SUI) في ما يبدو أنه هجوم استهداف دقيق لمعالج أوراكل. لم يمسّ هذا الهجوم العقود الأساسية للبروتوكول، لكنه كشف عن خلل أعمق في التصميم.

استغل أحد المهاجمين، وفق التقارير، عقدًا جانبيًا مهجورًا مرتبطًا بحوض مكافآت sSUI الخاص بـ Scallop. يؤكد فريقهم أن البروتوكول الأساسي لا يزال سليمًا وأن جميع ودائع المستخدمين في أمان. غير أن الخسارة محصورة كليًا في ذلك الجزء المعزول.

خلل في الكود القديم أم في أوراكل؟

يرى المحللون أن الجوهر المشكلة تمثّل في التلاعب بتغذيات أسعار أوراكل المخصصة لـ Scallop. ما أتاح للمهاجم خفض أسعار SUI/USDC بصورة مصطنعة واقتراض الأصول بتلك الأسعار المشوّهة، ثم سداد القرض الفوري ضمن المعاملة ذاتها. وفي نهاية المطاف، مضى المشتبه به حاملًا الفارق.

يتبع هذا الهجوم نمطًا مألوفًا في DeFi، غير أن التنفيذ في هذه الحادثة كان دقيقًا بشكل غير معتاد. لم يستهدف المهاجم الكود النشط أو مسارات SDK المعيارية، بل تفاعل مع عقد V2 قديم يعود إلى نوفمبر 2023، وهو إصدار كان قد تُرك لكنه ظل قابلًا للاستدعاء على السلسلة. تحتفظ Sui بجميع إصدارات العقود المنشورة غير قابلة للتغيير وقابلة للوصول، وهذا ما جعل هذه الحزمة القديمة سطحًا مخفيًا للهجوم.

لم يتأثر سعر Sui بعد الاستغلال، إذ ارتفع بنحو 2% خلال الـ24 ساعة الماضية. يُتداول Sui عند 0.94 دولار وقت كتابة هذه السطور، فيما يتراوح حجم تداوله اليومي حول 187 مليون دولار.

أشار أحد الخبراء في منشور إلى أن الخلل كان دقيقًا لكنه بالغ الخطورة. في العقد المهجور، لم يُهيَّأ مطلقًا متغير رئيسي يُدعى "last_index" عند إنشاء حساب جديد، ما أتاح للمهاجم المطالبة بالمكافآت كما لو كان يراهن منذ بداية حوض المكافآت.

ومع نمو مؤشر المكافآت بمرور الوقت، تمكّن المهاجم من إضافة مجموع حوض المكافآت بأكمله لحسابه في معاملة واحدة. وأشار إلى أن مؤشر Spool نما إلى 1.19 مليار خلال 20 شهرًا. 

راهن المهاجم على 136,000 sSUI وحصل على رصيد قدره 162 تريليون نقطة. غير أن حوض المكافآت كان يعمل بسعر صرف 1:1 (البسط والمقام كلاهما = 1)، فتحوّلت 162 تريليون نقطة مباشرةً إلى مكافآت بقيمة 162,000 SUI. لم يكن في الحوض سوى 150,000 SUI وقد جرى استنزافها بالكامل.

تُظهر بيانات السلسلة أن الأموال المسروقة وُجِّهت بسرعة عبر خدمة خلط، مشابهة لـ Tornado Cash على Sui، مما يجعل استردادها أكثر صعوبة.

Scallop يعود للعمل بعد الاختراق

استجاب فريق Scallop بإيقاف العمليات مؤقتًا، ثم أعلن أنه أزال التجميد عن العقود الأساسية واستُؤنفت جميع العمليات. وأبرز منشور على X أن المشكلة لم تكن متعلقة بالبروتوكول الأساسي وأنها كانت محصورة في عقد مكافآت مهجور. وفي نهاية المطاف، لم تتأثر ودائع المستخدمين وجميع الأموال لا تزال في أمان. عمليات السحب والإيداع تعمل الآن بصورة طبيعية.

تواصل المهاجم، وفق التقارير، مع الفريق وعرض إعادة 80% من الأموال مقابل مكافأة القبعة البيضاء. تجري حاليًا التحقيقات في الحادثة، وسيتحقق الفريق من كيفية اجتياز الخلل عمليات التدقيق السابقة التي أجرتها شركات مثل OtterSec وMoveBit.

أفادت Cryptopolitan بأن كثيرًا من الحوادث الكبرى في أبريل 2026 لم تنبع من منطق البروتوكول الأساسي، بل برزت من عقود قديمة أو محوّلات أو طبقات بنية تحتية لا تزال قابلة للوصول لكنها مغفولة. تجاوزت الخسائر التراكمية 750 مليون دولار في منتصف أبريل. وحده أبريل 2026 تجاوزت فيه الأموال المسروقة 600 مليون دولار عبر 12 حادثة كبرى. 

يُشكّل Kelp DAO وDrift Protocol معًا ما يقارب 95% من خسائر أبريل. أفضى الهجوم على Kelp إلى 177 مليون دولار من الديون المعدومة على Aave. في غضون ذلك، نجح مجلس الأمن التابع لـ Arbitrum في تجميد 30,766 ETH (بقيمة تقريبية 71 مليون دولار) من الأموال المسروقة.

لا يزال Hyperliquid أكبر رمز في فئة DeFi. ارتفع سعر HYPE بنسبة 10% خلال الـ30 يومًا الماضية، ويُتداول عند 41.95 دولار وقت كتابة هذه السطور. يحتل Chainlink المرتبة الثانية، ويُتداول LINK بحوالي 9.4 دولار.

بنكك يستخدم أموالك. أنت تحصل على الفتات. شاهد الفيديو المجاني الخاص بنا حول كيفية أن تصبح بنكك الخاص