استغلال Scallop يستنزف 150 ألف SUI عبر عقد متقادم بينما يكمن اختلاف مخفي لمدة 17 شهرًا

Scallop تؤكد استغلالاً موجهاً: سُرقت 150,000 رمز SUI من حوض مكافآت sSUI.

أكد بروتوكول DeFi المبني على Sui، Scallop، أنه كان هدفاً لعملية استغلال استنزفت ما يقارب 150,000 SUI من حوض مكافآت sSUI، مع الكشف عن ثغرة قديمة كانت كامنة داخل عقد ذكي مهمل.

وفقاً للبيان الرسمي للبروتوكول، لاحظوا أن المهاجم تجاهل تماماً قاعدة الأكواد النشطة وواجهات SDK القياسية. وبدلاً من ذلك، استدعى إصدار الحزمة V2 المهملة الذي يعود إلى نوفمبر 2023، والذي كان لا يزال على السلسلة لكنه ظل غير مستخدم لأشهر.

هذا المستوى من الدقة استقطب قدراً كبيراً من الاهتمام في جميع أنحاء النظام البيئي. تشير عملية الاستغلال هذه إما إلى هندسة عكسية عميقة أو أن شخصاً ما كان على دراية وثيقة بهندسة العقد.

والأبرز من ذلك أن الثغرة ظلت غير مكتشفة لما يقارب 17 شهراً بسبب انتقال النظام البيئي إلى إصدارات عقود جديدة. لجأ Scallop إلى تويتر لتأكيد الحادثة وأفاد بأن المستخدمين بأمان الآن بعد تطبيق تدابير احتواء فورية.

استغلال آلية حساب المكافآت المعطوبة

تكشف عملية الاستغلال عن خلل حرج في منطق حساب المكافآت للعقد المهمل. إذ يستخدم ما يُعرف بـ"مؤشر spool"، وهو قيمة متصاعدة باستمرار تمثل إجمالي المكافآت المتراكمة في ذلك الحوض عبر الزمن.

في الاستخدام الطبيعي، يحتفظ كل حساب مستخدم بـ last_index عند بدء التخزين. تُحسب المكافآت على أساس الفارق بين المؤشر الحالي والقيمة المخزّنة، بحيث لا يستطيع أي مستخدم كسب مكافآت قبل بدء التخزين.

غير أنه في حزمة V2 القديمة، لم تكن حسابات spool المُنشأة حديثاً تُهيَّأ أبداً؛ إذ كان last_index دائماً يساوي صفراً. وقد أتاح هذا الخطأ ثغرة كبيرة.

استنزاف الحوض مما أدى إلى ارتداد هائل للنقاط

كانت نتائج هذه الثغرة فورية وخطيرة. ارتفع مؤشر spool إلى ما يقارب 1.19 مليار على مدى نحو 20 شهراً. حصل المهاجم على 162 تريليون نقطة مكافأة مبالغ فيها، مقابل 136,000 sSUI مُخزَّنة.

وفاقم الأمر أن حوض المكافآت كان يملك نسبة تحويل 1:1 بحيث تتحول كل نقطة مكافأة مباشرةً إلى رموز SUI. مما مكّن المهاجم من صرف النقاط المكتسبة عبر التضخم الاصطناعي إلى أصول حقيقية بسلاسة.

أدت عملية الاستغلال إلى إفراغ حوض المكافآت الذي كان يحتوي على نحو 150,000 SUI آنذاك. وعلى الرغم من أن المكافآت المحسوبة للمهاجم كانت تفوق رصيد الحوض بكثير، إلا أنه لم يُستخرج سوى السيولة المتاحة فعلياً.

العقود غير القابلة للتغيير تُفرز سطحاً دائماً للهجوم

توضح هذه الحادثة أحد التحديات المنهجية القائمة مع الحزم المنشورة على نظام Sui البيئي: الحزم المنشورة غير قابلة للتغيير. وحين يُنشر العقد الذكي على السلسلة، لا يمكن حذفه أو تعديله. تبقى جميع الإصدارات، القديمة والحديثة، قابلة للاستدعاء إلى الأبد.

بينما أعاد Scallop توجيه المستخدمين إلى حزمة جديدة وأكثر أماناً عبر SDK الخاص به، ظل عقد V2 القديم قابلاً للوصول. كائنات Spooled وRewardsPool مشتركة، مما أتاح للمهاجم تجاوز المنطق المحدَّث كلياً لأنه لا توجد قيود على الإصدارات تطال هذه الكائنات.

هذا النوع من الثغرات، الذي أُعيد تصنيفه باعتباره مخاطرة "الحزمة القديمة"، يسلط الضوء على نقطة عمياء مهمة في كثير من أنظمة DeFi. يمكن أن تكون العقود القديمة نواقل هجوم دائمة لأنه لا توجد فحوصات صريحة للإصدار مدمجة في الكائنات المشتركة.

أنماط ثغرات غير جوهرية أوسع نطاقاً في الأفق

استغلال Scallop حدث منفرد، لا نتيجة لا نهاية لها لاتجاه أكبر يسود طوال شهر أبريل. نبعت هجمات حديثة متعددة ليس من منطق البروتوكول الجوهري بل من جوانب هامشية أو مغفلة. الثغرات في بنية RPC التحتية لـ KelpDAO، وطبقة الخصوصية (MWEB) لـ Litecoin، وأخطاء التحكم في الوصول في أنظمة المحوّلات من Aethir هي بعض الأمثلة فحسب.

في جميع الحالات، كان المصدر خارجياً عن العقد الرئيسي وفي وحدات ثانوية أو قديمة أخرى. استخدام مثل هذا النمط يدل على أن الخصوم غيّروا تكتيكاتهم. يقضي المخترقون وقتاً أقل في العقود الجوهرية التي تخضع لتدقيق مكثف، ووقتاً أكثر بكثير في مهاجمة أطراف النظام البيئي ذات الرقابة الضعيفة جداً على محيطها. يستلزم ذلك تحولاً جوهرياً في تفكير المطورين والمدققين. لا يكفي تأمين عمليات النشر الجديدة فحسب، بل ينبغي التعامل مع جميع العقود التاريخية ونقاط التكامل ومكونات البنية التحتية باعتبارها سطحاً نشطاً للتهديد.

التعويض الكامل واستعادة النظام من قِبل Scallop

اتبع Scallop نهجاً سريعاً وحاسماً في الاستجابة لعملية الاستغلال. جُمِّد العقد المستهدف فوراً في أعقاب الحادثة، مما يعني أن حوض مكافآت واحداً فقط قد تعرض للاختراق جراء هذا الهجوم.

أكدت المجموعة أن العقود الجوهرية لا تزال آمنة ولم تتعرض أي وديعة مستخدم للاختراق. تبقى الأحواض الأخرى بمنأى عن التأثر وتعمل الوظائف الرئيسية للبروتوكول بمجرد إلغاء تجميد الأجزاء غير المتأثرة.

والجدير بالذكر أن Scallop تعهد بتعويض 100 بالمئة من الخسائر الناجمة عن عملية الاستغلال. يُظهر هذا التعهد المسؤولية والمساءلة في معالجة الثغرات الأمنية غير المتوقعة، ويهدف إلى استعادة ثقة المستخدمين.

استُؤنفت عمليات الإيداع والسحب، مما يدل على استعادة استقرار النظام.

دروس من عالم أمان DeFi

تجسّد حادثة Scallop درساً محورياً للنظام البيئي لـ DeFi بأسره. عند التشغيل في بيئة العقد الذكي غير القابل للتغيير، لا يمكن أن يكون الأمن مجرد إجراء يُنفَّذ مرة واحدة ويُنسى.

أي إصدار من عقدك المنشور هو جزء من النظام الحي. حتى الكود غير النشط قد يشكّل نقطة فشل واحدة بعد أشهر أو سنوات، إذا كان تجاوز الضمانات المناسبة أمراً سهلاً.

مستقبلاً، يحتاج النظام البيئي إلى اعتماد ممارسات أكثر صرامة في التحكم بالإصدارات، والمراقبة المستمرة للعقود القديمة وتوسيع نطاقات التدقيق لتشمل جميع عمليات النشر السابقة. كما تُظهر عملية الاستغلال، يكون المهاجمون مستعدين للتعمق في تاريخ البروتوكول بحثاً عن نقاط الضعف التي يمكنهم استغلالها.

في نهاية المطاف، لن يكون التمويل اللامركزي متيناً إلا بقدر متانة البروتوكولات القادرة على التكيف مع هذا المشهد المتغير للتهديدات.

إفصاح: هذا ليس نصيحة تداول أو استثمار. احرص دائماً على إجراء بحثك الخاص قبل شراء أي عملة مشفرة أو الاستثمار في أي خدمات.

تابعنا على تويتر @themerklehash للبقاء على اطلاع بآخر أخبار Crypto وNFT والذكاء الاصطناعي والأمن السيبراني والميتافيرس!

ظهر منشور Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months أولاً على The Merkle News.