پروتکل Scallop در یک حمله وام فوری همراه با دستکاری اوراکل ۱۴۲ هزار دلار از دست داد

پروتکل Scallop روز یکشنبه مورد حمله فلش لون قرار گرفت. مهاجم گزارشاً حدود ۱۴۲,۰۰۰ دلار (۱۵۰,۰۰۰ SUI) را در آنچه به نظر می‌رسد یک حمله دستکاری اوراکل کاملاً هدفمند بوده، تخلیه کرد. این حمله به قراردادهای اصلی پروتکل دست نزد، اما یک نقص طراحی عمیق‌تر را آشکار کرد.

گزارش‌ها حاکی است مهاجم یک قرارداد جانبی منسوخ‌شده مرتبط با استخر پاداش sSUI پروتکل Scallop را مورد سوءاستفاده قرار داد. تیم آن‌ها تأکید می‌کند که پروتکل اصلی سالم مانده و تمام واریزهای کاربران در امنیت کامل هستند. با این حال، زیان کاملاً محدود به همان بخش مجزا است.

نقص کد قدیمی یا اوراکل؟

تحلیلگران پیشنهاد می‌کنند که مشکل اصلی دستکاری فیدهای قیمتی اوراکل سفارشی Scallop بود. این موضوع به مهاجم اجازه داد نرخ‌های SUI/USDC را به‌صورت مصنوعی کاهش دهد و دارایی‌ها را با آن قیمت‌های تحریف‌شده قرض بگیرد. سپس فلش لون را در همان تراکنش بازپرداخت کرد. در نهایت، مظنون با اختلاف قیمت فرار کرد.

این الگوی آشنای حمله DeFi را دنبال می‌کند؛ با این حال، اجرا در این رویداد به‌طور غیرمعمول دقیق بود. مهاجم کد فعال یا مسیرهای استاندارد SDK را هدف قرار نداد. آن‌ها با یک قرارداد قدیمی V2 از نوامبر ۲۰۲۳ تعامل داشتند. این نسخه‌ای بود که رها شده اما همچنان روی زنجیره قابل فراخوانی بود. Sui تمام نسخه‌های قرارداد مستقرشده را تغییرناپذیر و قابل دسترس نگه می‌دارد. به همین دلیل این بسته منسوخ به یک سطح حمله پنهان تبدیل شد.

قیمت Sui پس از این سوءاستفاده آسیبی ندیده است. در ۲۴ ساعت گذشته تقریباً ۲٪ افزایش یافته است. Sui در زمان انتشار این خبر به قیمت ۰.۹۴ دلار معامله می‌شود. حجم معاملات ۲۴ ساعته آن حدود ۱۸۷ میلیون دلار است.

یک متخصص در پستی اشاره کرد که نقص خود ظریف اما جدی بود. در قرارداد منسوخ‌شده، متغیر کلیدی "last_index" هنگام ایجاد حساب جدید هرگز مقداردهی اولیه نشده بود. این به مهاجم اجازه داد جوایز را طوری ادعا کند که انگار از ابتدای استخر استیکینگ انجام داده است.

با رشد شاخص پاداش در طول زمان، مهاجم توانست در یک تراکنش واحد کل استخر پاداش را به خود اعتبار دهد. او اشاره کرد که شاخص Spool در طول ۲۰ ماه به ۱.۱۹ میلیارد رسید. 

مهاجم ۱۳۶ هزار sSUI را استیک کرد و ۱۶۲ تریلیون امتیاز دریافت کرد. با این حال، استخر پاداش با نرخ تبادل ۱:۱ کار می‌کرد (صورت و مخرج هر دو = ۱)، بنابراین ۱۶۲ تریلیون امتیاز مستقیماً به معادل ۱۶۲ هزار SUI جوایز تبدیل شد. استخر فقط ۱۵۰ هزار SUI داشت و همه آن‌ها تخلیه شدند.

داده‌های آنچین نشان می‌دهد وجوه دزدیده‌شده به سرعت از طریق یک سرویس میکسر مشابه Tornado Cash در Sui عبور داده شدند. این بازیابی را حتی دشوارتر می‌کند.

Scallop پس از هک دوباره آنلاین شد

تیم Scallop با توقف موقت عملیات پاسخ داد. سپس گزارش داد که قراردادهای اصلی را از انجماد خارج کرده و تمام عملیات از سر گرفته شده است. یک پست X برجسته کرد که مشکل مربوط به پروتکل اصلی نبوده و محدود به یک قرارداد پاداش منسوخ‌شده بوده است. در نهایت، واریزهای کاربران تحت تأثیر قرار نگرفتند و تمام وجوه در امنیت کامل هستند. برداشت‌ها و واریزها اکنون به‌طور عادی در حال انجام هستند.

گزارش‌ها حاکی است مهاجم با تیم تماس گرفت و پیشنهاد بازگرداندن ۸۰٪ وجوه را در ازای دریافت جایزه وایت‌هت داد. این حادثه در حال بررسی است. تیم بررسی خواهد کرد که چگونه این نقص از ممیزی‌های قبلی توسط شرکت‌هایی مانند OtterSec و MoveBit عبور کرده است.

Cryptopolitan گزارش داد که بسیاری از حوادث بزرگ آوریل ۲۰۲۶ از منطق اصلی پروتکل ناشی نشده‌اند. آن‌ها از قراردادهای قدیمی، آداپتورها یا لایه‌های زیرساختی که همچنان قابل دسترس اما نادیده گرفته شده‌اند، سر بر آوردند. زیان‌های تجمعی تا اواسط آوریل از ۷۵۰ میلیون دلار فراتر رفت. آوریل ۲۰۲۶ به‌تنهایی در ۱۲ حادثه بزرگ بیش از ۶۰۰ میلیون دلار وجوه دزدیده‌شده به خود اختصاص داده است. 

Kelp DAO و Drift Protocol در مجموع حدود ۹۵٪ از زیان‌های آوریل را به خود اختصاص داده‌اند. حمله به Kelp منجر به ۱۷۷ میلیون دلار بدهی بد در Aave شد. در همین حال، شورای امنیتی Arbitrum با موفقیت ۳۰,۷۶۶ ETH (به ارزش تقریبی ۷۱ میلیون دلار) از وجوه دزدیده‌شده را مسدود کرد.

Hyperliquid همچنان بزرگترین توکن در دسته DeFi است. قیمت HYPE در ۳۰ روز گذشته ۱۰٪ افزایش یافته است. در زمان انتشار این خبر به قیمت ۴۱.۹۵ دلار معامله می‌شود. Chainlink در رتبه دوم قرار دارد. LINK حدود ۹.۴ دلار معامله شد.

بانک شما از پول شما استفاده می‌کند. شما تنها ته‌مانده را دریافت می‌کنید. ویدیوی رایگان ما درباره تبدیل شدن به بانک خودتان را تماشا کنید