أعلن سكالوب، سوق المال على شبكة سوي، عن خسارة حوالي 150 000 SUI يوم الأحد بعد أن قام مهاجم باستنزاف عقد مكافآت مهمل مرتبط ببكرة sSUI التابعة للبروتوكول.
قام الفريق بتجميد العقد المتضرر خلال دقائق وتعهد بالتعويض الكامل من خزينته. استؤنفت العمليات الأساسية في أقل من ساعتين.
ضرب استغلال آخر لشبكة سوي الشيفرة الطرفية وليس البروتوكول الأساسي
كشف سكالوب عن الحادثة في الساعة 12:50 بالتوقيت العالمي في 26 أبريل من خلال إشعار عام على منصة X. استهدف المهاجم عقدًا جانبيًا يقدم المكافآت لبكرة sSUI، وهي طبقة الحوافز للمودعين في SUI ضمن البروتوكول.
أكد الفريق على أن العقد المتأثر جُمِّد فورًا. لم تتأثر مجمعات الإقراض والاقتراض الأساسية. بقيت ودائع المستخدمين آمنة في جميع أسواق سكالوب الأخرى.
بعد ساعتين، أكد سكالوب رفع التجميد عن العقود الأساسية. استؤنفت عمليات السحب والإيداع في الساعة 14:42 بالتوقيت العالمي.
توضح معظم المستخدمين على شبكة سوي أنهم لم يتأثروا بأحداث الصباح.
أكد سوق المال سكالوب أن "سكالوب سيغطي %100 من الخسارة بالكامل"، وذلك من خلال تصريح له.
كود حزمة قديم من 2023 وراء الاستغلال
تشير تحليلات مستقلة على الشبكة إلى أن نقطة الدخول كانت حزمة V2 المهملة من البكرة المخصصة. نشر سكالوب الكود في نوفمبر 2023، أي قبل أكثر من 17 شهرًا من الهجوم. على سوي، الحزم المنشورة غير قابلة للتغيير. النسخ القديمة تبقى قابلة للاستخدام ما لم يتم تقييدها نسخةً بشكل صريح.
تركز الخلل في عداد last_index غير مهيأ، والذي يتتبع المكافآت المتراكمة للمشاركين في الستيكينغ. قام المهاجم بوضع حوالي 136 000 sSUI لاستغلاله.
احتسبت العملية الحسابية هذا المركز وكأنه موجود منذ انطلاق البكرة في أغسطس 2023.
ارتفع مؤشر البكرة إلى حوالي 1,19 مليار خلال 20 شهرًا، ما سمح للمستغل بحصد نحو 162 تريليون نقطة مكافأة، واستبدلها واحد إلى واحد مقابل 150 000 SUI من مجمع المكافآت.
تحدد معاملة بوسم 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL الدليل على استنزاف الأموال على الشبكة.
نمط مألوف عبر مشاريع DeFi على سوي
يأتي هذا الحادث بعد سلسلة من استغلالات شبكة سوي في الأسابيع الأخيرة. خسر بروتوكول Volo نحو 3,5 مليون دولار في بداية الشهر بحادثة طرفية مماثلة. استهدف كل من هذه الحالات العقود الجانبية وليس منطق البروتوكول الأساسي.
يقع هذا الأمر أيضًا بعد أسبوع واحد من حادثة كبيرة لجسر على إيثيريوم، والتي نتج عنها تقريبًا 292 مليون $ من رموز إعادة التخزين السائلة غير المدعومة. حدثت كلتا الهجمتين في عطلات نهاية الأسبوع، حيث تكون السيولة ضعيفة وأوقات الاستجابة تتأخر.
لم تصدر مؤسسة سوي ولا شركة ميستن لابز بيانًا عامًا حول الأمر.
بالنسبة لسكالوب، يبدو أن الضرر المالي بقي محصورًا. أكد البروتوكول أنه سيتحمل الخسارة بالكامل دون تخفيض عوائد المستخدمين.
لم يقم الفريق بعد بنشر تقرير مفصل عن الحادثة، مع احتمالية نشر تدقيق كامل لكل الحزم القديمة المتبقية والذي قد يُحدد استجابة ديفاي سوي الأوسع.
يبرز السؤال الأعمق حول الكيفية التي يجب أن يدير بها مطورو سوي الشيفرة غير القابلة للتغيير ونقاط الهجوم المنسية.
