اکسپلویت Scallop DeFi ریسک قراردادهای منسوخ‌شده را در میان زیان ۶۰۶ میلیون دلاری آوریل ۲۰۲۶ آشکار می‌کند

TLDR:

• زیان ۱۴۰ هزار دلاری Scallop از یک قرارداد پاداش منسوخ‌شده نشأت گرفت، نه از زیرساخت اصلی پروتکل وام‌دهی آن.
• آوریل ۲۰۲۶ شاهد ۱۳ اکسپلویت دیفای بوده و مجموع زیان‌های صنعت را به بیش از ۶۰۶ میلیون دلار رسانده است؛ بدترین ماه پس از Bybit.
• Scallop در فوریه ۲۰۲۵ حسابرسی کامل بنیاد Sui را پشت سر گذاشت، اما قرارداد منسوخ‌شده همچنان یک ریسک باز باقی ماند.
• متخصصان توصیه می‌کنند برای کاهش ریسک، دارایی‌ها را تقسیم کنید، از قراردادهای قدیمی پرهیز کنید و پاداش‌ها را به‌طور منظم برداشت نمایید.

Scallop، بزرگ‌ترین پروتکل وام‌دهی شبکه Sui، در ۲۶ آوریل ۲۰۲۶ مورد اکسپلویت قرار گرفت و زیانی معادل تقریباً ۱۴۰,۰۰۰ دلار متحمل شد.

این حمله یک قرارداد پاداش منسوخ‌شده را هدف قرار داد، نه پروتکل اصلی. پس از این نقض، تیم Scallop قراردادهای آسیب‌دیده را مسدود کرد، آسیب‌پذیری را شناسایی نمود و عملیات را بازگرداند.

سپرده‌های کاربران در طول این حادثه دست‌نخورده باقی ماندند. این رویداد به فهرست رو به رشد اکسپلویت‌های دیفای ثبت‌شده تنها در آوریل ۲۰۲۶ افزوده شد.

قرارداد منسوخ‌شده به نقطه ورود مهاجمان تبدیل می‌شود

اکسپلویت Scallop به زیرساخت اصلی پروتکل نفوذ نکرد. در عوض، مهاجم راهی را در یک قرارداد پاداش قدیمی و بلااستفاده یافت.

این تمایز اهمیت دارد، چرا که نشان می‌دهد چگونه کدهای قدیمی می‌توانند در طول زمان به یک بدهی تبدیل شوند. پروتکل‌ها اغلب برخی اجزا را بازنشسته می‌کنند بدون اینکه آن‌ها را به‌طور کامل از شبکه حذف کنند.

Scallop در فوریه ۲۰۲۵ حسابرسی کاملی را که توسط بنیاد Sui انجام شده بود، به پایان رساند. با وجود این بررسی، قرارداد منسوخ‌شده همچنان یک حلقه ضعیف باقی ماند.

تحلیلگر ارز دیجیتال Crypto Patel در X اشاره کرد که «حسابرسی‌شده به معنای ایمن نیست» و به Scallop و Kelp DAO به عنوان نمونه اشاره کرد. Kelp DAO با وجود گذراندن دو حسابرسی جداگانه پیش از نقض، ۲۹۲ میلیون دلار از دست داد.

تیم Scallop با جداسازی باگ و توقف قراردادهای مرتبط به سرعت واکنش نشان داد. عملیات کمی بعد از سر گرفته شد و تیم تأیید کرد که هیچ وجه کاربری در معرض خطر نبوده است.

واکنش سریع به مهار آسیب تنها در مؤلفه منسوخ‌شده کمک کرد. با این حال، این حادثه توجه را به این موضوع جلب کرد که چگونه قراردادهای قدیمی به‌طور فزاینده‌ای به عنوان بردارهای حمله مورد استفاده قرار می‌گیرند.

این الگو در ماه‌های اخیر در اکوسیستم Sui رایج‌تر شده است. توسعه‌دهندگان و پژوهشگران امنیتی شروع به علامت‌گذاری قراردادهای بلااستفاده به عنوان یک نگرانی رو به رشد کرده‌اند.

پروتکل‌هایی که اجزای منسوخ‌شده را بدون غیرفعال‌سازی مناسب فعال نگه می‌دارند، با ریسک بالاتری روبرو هستند. پرونده Scallop به عنوان یک نقطه مرجع عملی برای این بحث جاری مطرح می‌شود.

آوریل ۲۰۲۶ بدترین ماه زیان‌های دیفای از زمان Bybit را ثبت می‌کند

آوریل ۲۰۲۶ ماه سختی برای بخش گسترده‌تر دیفای بوده است. زیان‌های صنعت از ۶۰۶ میلیون دلار عبور کرده و آن را به بدترین ماه از زمان حادثه Bybit تبدیل کرده است.

اکسپلویت Scallop سیزدهمین نقض ثبت‌شده دیفای در این ماه است. این تکرار به یک چالش سیستمی که پلتفرم‌های امور مالی غیر متمرکز با نام اختصاری دیفای با آن روبرو هستند اشاره دارد.

شبکه Sui به‌ویژه در طول سال گذشته شاهد حوادث مکرر بوده است. Cetus DEX در می ۲۰۲۵ ۲۲۳ میلیون دلار از دست داد و پس از آن Nemo Protocol در سپتامبر ۲۰۲۵ ۲.۴ میلیون دلار ضرر کرد.

Volo Protocol در ۲۲ آوریل ۲۰۲۶، تنها چند روز پیش از نقض Scallop، ۳.۵ میلیون دلار ضرر داد. این حوادث یک الگوی آسیب‌پذیری تکرارشونده در پروتکل‌های مبتنی بر Sui را منعکس می‌کنند.

مدیریت ریسک به یک موضوع فوری در میان شرکت‌کنندگان دیفای تبدیل شده است. Crypto Patel توصیه کرد از قراردادهای منسوخ‌شده پرهیز کنید و پاداش‌ها را به‌طور منظم برداشت کنید، به جای اینکه آن‌ها را بلااستفاده رها کنید.

تنوع سبد سهام در چندین پروتکل به جای تمرکز آن‌ها در یک پلتفرم نیز ریسک را کاهش می‌دهد. نظارت بر اطلاعیه‌های رسمی پروتکل پیش از انجام سپرده‌گذاری لایه محافظتی دیگری ایجاد می‌کند.

جامعه گسترده‌تر دیفای به بررسی چگونگی تقویت فرآیندهای حسابرسی قرارداد هوشمند ادامه می‌دهد. گذراندن یک حسابرسی تضمین نمی‌کند که یک پروتکل عاری از کد قابل اکسپلویت باشد، به‌ویژه در اجزای قدیمی.

بررسی‌های امنیتی مستمر که قراردادهای منسوخ‌شده را پوشش می‌دهند به یک روش توصیه‌شده تبدیل می‌شوند. رویدادهای آوریل ۲۰۲۶ احتمالاً شکل خواهند داد که پروتکل‌ها چگونه به مدیریت چرخه حیات قرارداد در آینده می‌پردازند.

این مطلب با عنوان Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak اولین بار در Blockonomi منتشر شد.