KuCoin
تسجيل الدخول
language_currency
الصفحة الرئيسية
المدونة
Market Insight
التفاصيل
img

الثغرات الشائعة في DeFi: ما الذي تُشير إليه حادثة Scallop؟

2026/05/05 09:50:23
مخصص
تعد منصات DeFi بتمويل مفتوح دون وسطاء، لكن الاستغلالات المتكررة لا تزال تختبر ثقة المستخدمين. يبرز حادث Scallop في 26 أبريل 2026 ليس لحجمه بل لكيفية كشفه عن المخاطر اليومية التي يتجاهلها المطورون والمستخدمون غالبًا. هاجم هجوم قرض فوري عقد مكافآت جانبي مرتبط بـ sSUI spool على سلسلة Sui، وسرق حوالي 150,000 SUI، ما يعادل حوالي 142,000 دولار أمريكي في ذلك الوقت. ظلت حزم الإقراض الأساسية سليمة، وقمت فريق Scallop بسرعة تجميد العقد المتأثر، واستأنفت العمليات، ووعدت بتعويض الخسارة الكاملة من مواردها الخاصة.
 
تُظهر هذه الحدود كيف أن البروتوكولات الراسخة حتى على السلاسل الأحدث تواجه مفاجآت من كود يظل موجودًا لفترة طويلة بعد انتهاء استخدامه المقصود. وهي تُعد إشارة واضحة إلى أن النمو السريع لـ DeFi يفوق جهود التنظيف، مما يترك أبوابًا خفية مفتوحة للمهاجمين الذين يجمعون بين العيوب القديمة وتكتيكات حديثة مثل القروض اللحظية وتحريف مصادر الأسعار.
 

كيف تطور هجوم Scallop في الوقت الحقيقي

في 26 أبريل 2026، نشرت Scallop إشعارًا أمنيًا في الساعة 12:50 بالتوقيت العالمي المنسق يوضح الاختراق. استهدف المهاجم عقد مكافآت V2 قديم تم نشره لأول مرة في نوفمبر 2023 لحوض مكافآت sSUI. كان هذا العقد غير مستخدم لمدة حوالي 17 شهرًا. ركز الخلل على متغير "last_index" غير المُهَيَّأ في حسابات الملفات الجديدة، مما سمح للمهاجم بالمطالبة بمكافآت رجعية ضخمة تعادل تراكم 20 شهرًا.
 
تُوصِف التقارير الاستغلال على أنه قرض فlash مصحوب بتحريف أسعار oracle، مما سمح للمهاجم باستعارة الأصول بمعدلات مشوهة، واستخلاص القيمة، وسدادها ضمن نفس المعاملة. قام الفريق بعزل المشكلة، وتجميد العقد، وتأكيد أن إيداعات المستخدمين الرئيسية ووظائف سوق المال الأساسية ظلت آمنة. واستؤنفت العمليات بعد وقت قصير، مع التأكيد من البروتوكول على أن العقد الجانبي لم يكن له أي تأثير على أنشطة الإقراض الأساسية. ومنع هذا الرد السريع انتشارًا أوسع، لكن الحادث لا يزال جذب الانتباه عبر مجتمعات التشفير التي تتبع الخسائر اليومية.
 

الخلل التقني المخفي أمام أعين الجميع لمدة 17 شهرًا

كانت الثغرة موجودة في آلية مكافآت قديمة لم تعد تدعم حوافز المستخدمين النشطين. لقد انتقل المطورون إلى إصدارات أحدث، لكن الحزمة القديمة ظلت قابلة للاستدعاء على سلسلة Sui. استغل المهاجمون هذه الثغرة بإنشاء حسابات spool حيث كان المؤشر غير المهيأ يُعيّن بطريقة تضخّمت حسابات المكافآت بشكل كبير. وبمجرد تراكم النقاط، حوّل المهاجمون هذه النقاط إلى رموز SUI حقيقية من الصندوق. لاحظ محللو الأمن أن تصميم العقد افترض التهيئة الصحيحة، وهي إهمال شائع يحدث عندما يتم إهمال الكود دون إزالته الكاملة أو تطبيق ضوابط وصول.
 
تُظهر هذه الحالة كيف تحتفظ سلاسل الكتل بكل عقد تم نشره إلى الأبد، وتحول الوحدات المنسية إلى مسؤوليات محتملة. أوقف تجميد سكالوب التسرب الإضافي، لكن الحدث يثير أسئلة حول كيفية تعامل الفرق مع تقاعد الكود عبر شبكات عالية الإنتاجية مثل Sui، حيث تشجع سرعات المعاملات على التحديثات المتكررة دون تنظيف الماضي دائمًا.
 

لماذا تستمر العقود المُعلَّقة في التسبب في مشاكل في DeFi

تطلق العديد من البروتوكولات ميزات، وتجربها، ثم تحوّل تركيزها إلى ترقيات أو تكاملات جديدة. تبقى العقود القديمة على السلسلة لأن حذفها بالكامل قد يُعطّل البيانات التاريخية أو يتطلب هجرات معقدة. في حالة Scallop، لم يشهد ملف المكافآت V2 أي نشاط ذي معنى لأكثر من عام، لكنه احتفظ بكمية كافية من SUI لجعل الاستغلال مجزيًا. تظهر أنماط مشابهة عبر النظم البيئية: حيث تُعطي الفرق الأولوية للنمو وحجم السيولة الإجمالي الجديد على التدقيق الشامل لأجزاء الطراز القديم.
 
النتيجة تترك متجهات للمهاجمين الذين يمسحون بحثًا عن الكود غير المُحدَّث باستخدام أدوات آلية. إن حادثة Scallop تضيف إلى نمط حيث تظل الخسائر الصغيرة المعزولة مؤشرات على فجوات أوسع في الصيانة. المستخدمون الذين يتفاعلون فقط مع الواجهات الحالية قد لا يدركون أبدًا أن الكود الخامل يمكن أن يؤثر بشكل غير مباشر على الثقة في المنصة بأكملها إذا لم يتم التصدي له بشكل استباقي.
 

القروض الفورية تلتقي بحيل أوراكل في الهجمات الحديثة

تتيح القروض الفورية للمستخدمين الاقتراض بمبالغ ضخمة دون ضمانات، بشرط أن يتم السداد في معاملة ذرية واحدة. يجمع المهاجمون بينها وبين التلاعب بمؤشرات الأسعار لإنشاء ظروف سوقية اصطناعية. في حادثة Scallop، من المحتمل أن المهاجم قد شوّه مصادر البيانات المرتبطة بعقد المكافآت، مما مكنه من الاقتراض بكميات كبيرة أو المطالبة بمكافآت مفرطة قبل سداد القرض. أصبحت هذه الاستراتيجية خطة عمل قياسية لأنها لا تتطلب رأس مال مسبق وتستغل التناقضات المؤقتة في مصادر البيانات.
 
على Sui، مع نموذجه القائم على الكائنات وسرعة الانتهاء، يمكن تنفيذ مثل هذه الهجمات بدقة. إن حالة Scallop تُظهر كيف تصبح المكونات غير الأساسية أهدافًا حتى عندما تُزوّد مصادر البيانات المنطق الخاص بالحوافز. تهدف البروتوكولات التي تستخدم مصادر بيانات متعددة أو متوسطات موزونة زمنيًا إلى تقليل هذا الخطر، لكن العقود القديمة غالبًا ما تفتقر إلى هذه الضمانات، مما يخلق نقاط دخول سهلة للجهات المتقدمة التي تراقب النشاط على السلسلة.
 

رد Scallop وقرار تغطية الخسائر بالكامل

تصرفت Scallop بسرعة بتجميد العقد المعرض للخطر ونشر تحديثات شفافة عبر X. أفاد الفريق أن أموال المستخدمين في الصناديق النشطة لم تواجه أي خطر، وتعهدت بتعويض كامل مبلغ 150,000 SUI من موارد البروتوكول. يحمي هذا النهج المودعين ويساعد في الحفاظ على الثقة في بيئة إقراض تنافسية على Sui. من خلال عزل المشكلة في عقد جانبي، تجنبت Scallop أي توقف في العمليات الرئيسية، مما سمح باستمرار عمليات الاقتراض والإيداع.
 
يُعيد هذا القرار تذكيرًا بكيفية اختيار بعض البروتوكولات للتأمين الذاتي بدلاً من ترك المستخدمين يتحملون الخسائر، خاصة عندما تنبع الثغرة من كود غير أساسي. لاحظ المراقبون أن الاستجابة قلّلت من الضرر السمعي، على الرغم من أنها لا تزال تُبرز التكلفة الحقيقية التي تتحملها البروتوكولات عند ظهور الأخطاء. إن التعويض الكامل يطمئن المشاركين التجزئيين الذين قد يسحبون أموالهم خلال فترات عدم اليقين، مما يحافظ على السيولة في النظام البيئي الأوسع.
 

الاندفاع القاسي لحوادث DeFi في أبريل 2026

سجل أبريل 2026 خسائر كبيرة عبر القطاع، مع تجاوز إجمالي الخسائر 600 مليون دولار في النصف الأول من الشهر فقط نتيجة أحداث متعددة. تشمل الحالات البارزة استغلال جسر Kelp DAO الذي سرق حوالي 293 مليون دولار من rsETH، وحادثة Drift Protocol التي شملت حوالي 285 مليون دولار. تساهم الاختراقات الأصغر، مثل خسارة Volo Protocol البالغة 3.5 مليون دولار في 22 أبريل، بسرعة في الإجمالي. يندرج ضربة Scallop البالغة 142 ألف دولار ضمن هذه الموجة كأحد الأمثلة الأكثر تحفظًا، لكنها تساهم في المجموع الشهري الذي جعل أبريل مميزًا كشهر صعب بشكل خاص.
 
تُظهر بيانات من شركات التتبع زيادة في تكرار وتنوع متجهات الهجوم، من تزوير رسائل الجسور إلى الهندسة الاجتماعية وعيوب العقود الذكية. إن تركيز الحوادث في بداية العام يدفع الأرقام حتى تاريخه إلى ما فوق الفصول السابقة بشكل كبير، مما يضع ضغطًا على الصناعة بأكملها للنظر في سبب استمرار تراكم الخسائر على الرغم من النضج المتزايد في بعض البروتوكولات.
 

كيف تواجه بيئات سوي المتزايدة مراجعة جديدة

لقد وضعت Sui نفسها كطبقة أولى عالية الأداء ذات بنية موجهة نحو الكائنات تدعم التنفيذ المتوازي والتسوية السريعة. تحتل Scallop مكانة واحدة من بروتوكولات سوق المال الرائدة فيها، وجذبت المستخدمين من خلال فرص إقراض وكسب عوائد فعالة. الاستغلال، رغم أنه محدود، جلب اهتمامًا جديدًا لممارسات الأمان داخل النظام البيئي. غالبًا ما تشهد السلاسل الأحدث إطلاقًا سريعًا للبروتوكولات ونموًا في إجمالي قيمة التأمين، لكن هذا الوتيرة يمكن أن تُهمل الإدارة المتكاملة للنُظم القديمة.
 
تستفيد المشاريع القائمة على Sui من نقاط القوة التقنية للشبكة، لكن حالة Scallop تُظهر أن الميزات على مستوى السلسلة لا تحمي تلقائيًا العقود الذكية الفردية من أخطاء التصميم. ركزت المناقشات المجتمعية على ما إذا كانت دورات التطوير الأسرع على المنصات المبتكرة تزيد بشكل غير مقصود من التعرض لمسارات كود مهملة. ويشجع الحادث الفرق على طول Sui على مراجعة ممارسات النشر وتعزيز توثيق أفضل للوحدات المتقاعدة.
 

الجانب البشري لبروتوكول تحت الهجوم

خلف كل استغلال يوجد أشخاص حقيقيون تعلق وقتهم ورأس مالهم وثقتهم في الميزان. واجه مستخدمو Scallop الذين قاموا بربط sSUI أو كسب المكافآت عدم يقين مؤقت في 26 أبريل قبل تأكيدات الفريق. من المرجح أن المطورين الذين بنوا عقد V2 ثم أوقفوه لم يتخيلوا أبدًا أنه سيصبح هدفًا بعد 17 شهرًا من عدم النشاط. وقضى باحثو الأمن ومحاللو السلاسل الذين اكتشفوا تدفق المعاملات ساعات في تتبع المتغير غير المهيأ وآليات التضخم في المكافآت.
 
للمشاركين الأصغر حجمًا في مجتمع Sui، يشعر الحدث بالشخصية لأن كثيرين يعاملون منصات DeFi كأدوات يومية للعائد بدلاً من تجارب عالية المخاطر. التزام البروتوكول بالتكملة الكاملة خفّف من التوتر الفوري على أولئك الذين تأثروا بشكل غير مباشر من خلال مشاعر السوق. القصص مثل هذه تذكّرنا أن الكود يعمل بناءً على قرارات بشرية، حول ما يجب الحفاظ عليه، وما يجب إيقافه، وكيفية التواصل بشفافية عندما تحدث الأمور بشكل خاطئ.
 

الأنماط التي تتكرر باستمرار عبر بروتوكولات الإقراض

تشارك منصات الإقراض هياكل مشتركة تشمل الضمانات، والاقتراض، والمستشعرات، وطبقات الحوافز. يعكس مغزل المكافآت في Scallop الميزات الموجودة في العديد من أسواق المال حيث تُكافأ المشاركة بالنقاط أو الرموز. عندما تقوم الفرق بوقف أنظمة الحوافز دون قطع العلاقات تمامًا مع مجموعات الأصول، تظل المخاطر قائمة. استهدفت هجمات القروض الفورية إعدادات مشابهة من قبل لأنها تضخم التفاوتات الصغيرة في الأسعار إلى أرباح كبيرة. يعكس فترة السكون البالغة 17 شهرًا في عقد Scallop حالات حيث تقوم البروتوكولات بترقية الواجهات لكنها تترك المنطق الخلفي قابلًا للوصول.
 
عبر النظم البيئية، يركز المدققون أحيانًا بشدة على الكود النشط بينما يعطون مراجعة أقل للحزم المخزنة. يضيف هذا الحادث بيانات ملموسة إلى المناقشات حول إدارة دورة حياة الكود: عمليات إيقاف منتظمة، سحب الوصول، أو حتى علامات على السلسلة تشير إلى التوقف عن الاستخدام يمكن أن تقلل من الهجمات المفاجئة. يتوافق هذا الحدث مع ملاحظة أوسع مفادها أن آليات الحوافز، رغم فعاليتها في تعزيز تفاعل المستخدمين، غالبًا ما تُدخل حسابات معقدة عرضة للحالات الحدية إذا لم تخضع لاختبارات ضغط على المدى الطويل.
 

ما الذي تقوله الأرقام عن اتجاهات خسائر DeFi في 2026

تُفيد خدمات التتبع أن خسائر DeFi في مطلع عام 2026 وصلت بالفعل إلى مئات الملايين، مع تسارع كبير في وتيرتها في أبريل. ووضّح تحليل واحد أن أرقام أبريل تجاوزت 600 مليون دولار خلال حوالي 18 يومًا نتيجة نحو عشرة حوادث. وارتفعت إجماليات العام حتى الآن فوق 750 مليون دولار وفق بعض التقديرات، مدفوعة بمزيج من هجمات الجسور ومشكلات أوراكل وخرق تشغيلي. إن الأحداث الأصغر مثل حالة Scallop لا تزال مهمة لأنها تتراكم وتُضعف الثقة العامة في القطاع.
 
تختلف أحجام الخسائر المتوسطة، لكن حتى الاختراقات المحدودة تشير إلى أن تكلفة فشل الأمان تقع على خزائن البروتوكول أو صناديق التأمين. هذه الأرقام مستمدة من بيانات السلسلة وتقارير الحوادث التي جمعتها شركات تراقب الاستغلالات في الوقت الفعلي. يبرز التركيز في أبريل كيف يمكن أن تظهر مجموعات من الهجمات عندما تجعل ظروف السوق أو تحسينات الأدوات بعض المتجهات أكثر ربحية. لا يزال حالة سكالوب، التي تمثل جزءًا صغيرًا من المجموع الشهري، تساهم في السرد القائل إن الثغرات لا تزال موجودة حتى مع نمو إجمالي القيمة المضمونة في النظم الإيكولوجية الواعدة.
 

دروس من كيفية تعامل الفرق مع التعافي بعد الاستغلال

أصبحت العزلة السريعة والتواصل الشفاف علامتين رئيسيتين على الاستجابة الفعالة. قام Scallop بإلغاء تجميد العقود الأساسية بعد التأكد من أن المشكلة ظلت محصورة، مما سمح باستئناف النشاط الطبيعي دون توقف مطول. تغطية الخسائر داخليًا تتجنب إجبار المستخدمين على تحمل خسائر، وهو ما يمكن أن يُحفز تدفقات خروج في الأسواق التنافسية. يُحافظ العديد من البروتوكولات الآن على ميزانيات أمنية مخصصة أو يتعاونون مع مزودي تأمين للتعامل مع مثل هذه الأحداث.
 
ساعد إعلان فريق Scallop العلني والتحديثات اللاحقة في الحد من التكهنات والذعر. على النقيض من ذلك، أدت الاستجابات الأبطأ أو الأقل وضوحًا في الحوادث السابقة إلى انخفاضات مطولة في إجمالي قيمة التأمين. يُظهر هذا النهج قيمة وجود خطط استجابة للحوادث جاهزة، بما في ذلك آليات إيقاف العقود ووضوح ملكية الحسابات الجانبية. بالنسبة للمستخدمين، فإن مراقبة كيفية تصرف الفرق في الساعات التالية للكشف توفر رؤية حول النضج التشغيلي超越 الادعاءات التسويقية.
 

إشارات أوسع للمستخدمين الذين يبحثون عن فرص العائد

تشجع فعالية Scallop على مراجعة أعمق لمصادر العوائد وماهي الأكواد التي تدعمها. غالبًا ما يتحقق المشاركون من معدلات العائد السنوي الحالية (APY) وإجمالي القيمة المحجوزة (TVL)، لكنهم نادرًا ما يبحثون في سجلات العقود أو حالة التدهور. على منصات مثل Scallop، كانت المكافآت المرتبطة بـ sSUI مرتبطة يومًا ما بالملف المعرض للخطر، لذا فإن فهم تطور الحوافز مهم. يستفيد المستخدمون من تفضيل البروتوكولات التي توثق تغييرات الكود بوضوح وتُنهي المكونات القديمة بشكل نظيف.
 
كما يسلط الحادث الضوء على دور الميزات الخاصة بالسلسلة: نموذج Sui يمكّن التفاعلات الفعالة لكنه لا يزال يتطلب الحفاظ على نظافة العقود الذكية. يمكن أن يساعد التنويع عبر منصات متعددة ومراقبة القنوات الرسمية أثناء الحوادث في إدارة التعرض للمخاطر. بينما لا تُزيل أي منصة المخاطر، فإن الوعي بالأنماط الشائعة، مثل منطق المكافآت القديمة أو الاعتماد على قروض فلاش، يساعد المستخدمين على اتخاذ قرارات أكثر وعيًا في مجال يتحرك بسرعة كبيرة.
 

النظر إلى الأمام في ممارسات الأمان في DeFi المتطورة

مع نضج البروتوكولات، يتحول التركيز نحو حوكمة أفضل للشفرة، بما في ذلك التقاعد التلقائي للعقود غير المستخدمة وتعزيز المراقبة للوحدات غير النشطة. تستكشف الفرق التحقق الرسمي أو برامج مكافآت الأخطاء المستمرة التي تستهدف بشكل خاص الشفرة القديمة. حالة Scallop، رغم صغر حجمها، تُذكّر عمليًا بأن النمو على السلاسل الجديدة لا يلغي الحاجة إلى صيانة منضبطة.
 
أحيانًا تصوت الحوكمة المجتمعية على ترقيات الأمان، مما يمنح المستخدمين صوتًا في تحديد أولويات التدقيق. قد تتضمن التصاميم المستقبلية قيودًا زمنية أو علامات إلغاء صريحة تمنع استدعاء المنطق القديم. يضيف هذا الحدث إلى المعرفة الجماعية حول سطوح الهجوم الواقعية، مما يساعد المطورين عبر المشاريع على توقع مشكلات مماثلة. يستفيد المستخدمون والمبنيون على حد سواء من اعتبار كل عقد مُنشر على أنه نشط محتملًا حتى يُثبت خلاف ذلك من خلال تنظيف دقيق.
 

الأسئلة الشائعة

ماذا حدث بالضبط في استغلال Scallop في 26 أبريل 2026؟
استخدم المهاجم قرضًا فوريًا وManipulated عناصر في عقد مكافآت V2 مُعَلَّق مرتبط بـ sSUI spool، وسرق حوالي 150,000 SUI بقيمة تقارب 142,000 دولار. بقي بروتوكول الإقراض الأساسي غير متأثر، وقام الفريق بتجميد العقد بسرعة مع وعد بالتعويض الكامل.
 
هل خسر المستخدمون أي أموال من إيداعاتهم الرئيسية على Scallop؟
لا. استهدف الاستغلال فقط عقد مكافآت جانبي لم يكن مستخدمًا منذ 17 شهرًا. استمرت عمليات سوق المال الرئيسية، وإيداعات المستخدمين، والصناديق النشطة دون انقطاع، وتعهد البروتوكول بتعويض الخسارة بالكامل من موارده.
 
لماذا لا تزال العقود المُلغاة تشكل مخاطر سنوات بعد الإطلاق؟
تحتفظ سلاسل الكتل بجميع العقود الذكية متاحة بشكل دائم. عندما تتوقف الفرق عن استخدام الإصدارات الأقدم دون تقييد أو حذف كامل لها، يمكن للمهاجمين لا يزال التفاعل معها إذا كانت هناك ثغرات مثل المتغيرات غير المهيأة. يُظهر حالة Scallop كيف لم يُزِل 17 شهرًا من عدم النشاط قيمة صندوق المكافآت كهدف.
 
ما مدى شيوع هجمات القروض اللحظية في بروتوكولات الإقراض اللامركزية؟
تظهر بانتظام لأن القروض اللحظية لا تتطلب ضمانات وتُسجّل فورًا. إن دمجها مع التلاعب بمشغّلي البيانات يسمح للمهاجمين بإنشاء تشوهات مؤقتة لاستخلاص القيمة. اتبعت حادثة Scallop هذا النمط لكنها ظلت محدودة في مكون غير أساسي.
 
ما الخطوات التي يمكن لمستخدمي DeFi اتخاذها لتقليل التعرض لحوادث مشابهة؟
تحقق من الإعلانات الرسمية لأي مشكلات مبلغ عنها، وراجع تاريخ تحديثات كود البروتوكول، وافهم مصدر العوائد. اختر المنصات التي تتميز باتصال شفاف وسجل قوي في الاستجابة. كما أن تنويع المحفظة عبر سلاسل وبروتوكولات مختلفة يساعد في إدارة المخاطر العامة.
 
هل يشير حدث Scallop إلى مشاكل أكبر لبيئة Sui؟
إنها تبرز الحاجة إلى إدارة دقيقية للشفرة القديمة حتى على السلاسل عالية الأداء. يستمر Sui في النمو مع أسس تقنية قوية، لكن البروتوكولات الفردية يجب أن تحافظ على نظافة مكونات تم التخلي عنها. طبيعة الخسارة المحدودة والاسترداد السريع تشير إلى أن النظام البيئي يمكنه الاستجابة بفعالية عند حدوث مشكلات.
 
 

إخلاء المسؤولية

هذا المحتوى لأغراض إعلامية فقط ولا يشكل نصيحة استثمارية. تستلزم استثمارات العملات المشفرة مخاطرة. يرجى إجراء بحثك الخاص (DYOR).

اخلاء المسؤوليه: تُرجمت هذه الصفحة باستخدام تقنية الذكاء الاصطناعي (المدعومة من GPT) لراحتك. للحصول على المعلومات الأكثر دقة، ارجع إلى النسخة الإنجليزية الأصلية.