العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 30 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
هجوم فلاش سكالوپ يفرغ $142K من عقد مكافآت سوي
تعرضت سكالوپ لهجوم باستخدام قرض فلاش يوم الأحد بعد أن قام مستغل بتفريغ حوالي 142,000 دولار من عقد مكافآت قديم مرتبط بحوض sSUI الخاص بها
المحتويات عقد قديم يكشف عن مخاطر مخفية تلاعب بالسلطة يدعم استراتيجية قرض الفلاش استئناف عمليات سكالوپ بعد المراجعة الحادثة كانت تتعلق بحوالي 150,000 SUI ويبدو أنها اعتمدت على تلاعب بالسلطة ومتغير مكافأة غير مهيأ. قالت سكالوپ إن بروتوكولها الأساسي ظل آمنًا، وودائع المستخدمين ظلت آمنة، والخسارة بقيت محدودة لعقد معزول.
عقد قديم يكشف عن مخاطر مخفية
لم يستهدف استغلال سكالوپ نظام الإقراض الرئيسي أو رمز البروتوكول الحالي. بدلاً من ذلك، تفاعل المهاجم مع عقد V2 أقدم من نوفمبر 2023 لا يزال قابلاً للاستدعاء على السلسلة على الرغم من أنه تم إهماله. يسمح تصميم حزمة Sui الثابتة بنُسخ العقود المنشورة بالبقاء متاحة، مما حول الكود المهجور إلى سطح هجوم غير ملحوظ.
قال محللو الأمن إن العقد احتوى على عيب دقيق ولكنه خطير. عندما تم إضافة حساب جديد إلى حوض المكافآت، لم يتم تهيئة المتغير المسمى last_index. سمح هذا الفجوة للمهاجم بالظهور كأنه مؤهل للمكافآت المتراكمة منذ بداية الحوض.
نمو مؤشر المكافأة بشكل حاد على مدى حوالي 20 شهرًا. بعد إيداع 136,000 sSUI، حصل المهاجم على رصيد يعادل 162 تريليون نقطة مكافأة. وبما أن الحوض كان يستخدم معدل تبادل مكافأة واحد إلى واحد، تحولت تلك النقاط إلى حوالي 162,000 SUI. كان الحوض يحتوي فقط على 150,000 SUI، لذا قام المهاجم بتفريغ الرصيد المتاح.
تلاعب بالسلطة يدعم استراتيجية قرض الفلاش
وأشار المحللون أيضًا إلى تلاعب أسعار أوامر سكالوپ المخصصة. يُقال إن المهاجم دفع أسعار SUI و USDC إلى الانخفاض، واقترض أصولًا بأسعار مشوهة، وسدد قرض الفلاش ضمن نفس المعاملة. وأصبح الفرق المتبقي ربحًا للمهاجم.
تبع المعاملة نمط استغلال معروف في التمويل اللامركزي، لكن تنفيذها بدا مستهدفًا بشكل كبير. تجنب المهاجم الطرق النشطة ومسارات SDK القياسية، ثم استخدم رمزًا قديمًا لا يزال لديه وصول على السلسلة. أظهرت البيانات على السلسلة لاحقًا أن الأموال المسروقة انتقلت عبر خدمة خلط تعتمد على Sui، مما قد يعقد جهود الاسترداد.
سكالوپ يستأنف العمليات بعد المراجعة
أوقفت سكالوپ النشاط بعد اكتشاف الهجوم، ثم أطلقت مرة أخرى عقودها الأساسية. قالت الفريق إن عمليات الإيداع والسحب استؤنفت بشكل طبيعي وأكدت أن المشكلة لم تؤثر على أموال المستخدمين. يُقال إن المهاجم تواصل مع سكالوپ وعرض إعادة 80 بالمئة من الأموال مقابل مكافأة للهاكر الأخلاقي.
تضيف الحالة إلى أبريل الصعب لأمن التمويل اللامركزي. جاءت العديد من الحوادث الكبرى هذا الشهر من عقود قديمة، ومهايئات، وطبقات بنية تحتية بدلاً من أنظمة البروتوكول الأساسية. تجاوزت الخسائر المبلغ المبلغ عنه عبر حوادث أبريل $600 مليون دولار بحلول منتصف الشهر، مع مساهمة كل من Kelp DAO و Drift Protocol في معظم الضرر. تظهر حالة سكالوپ كيف يمكن للكود غير المستخدم أن يخلق مخاطر حية، كما تبرز أهمية تتبع الفرق بين كل حزمة منشورة، وليس فقط الإصدار الأخير الذي تم تدقيقه.