استناداً إلى التحليل التقني لواقعة الهجوم الصادرة عن GoPlus في 30 أبريل، وإلى بيان Aftermath Finance الرسمي، تعرضت منصة Aftermath Finance لعقود السوافي الدائمة على سلسلة Sui لهجوم في 29 أبريل، وتجاوزت خسائر الهجوم 1.14 مليون دولار. وأعلن القائمون على المشروع أنه، بدعم من Mysten Labs وSui Foundation، سيتم تعويض جميع المستخدمين تعويضاً كاملاً.
مبدأ الهجوم: إساءة استخدام صلاحية ADMIN وثغرة في رمز الرسوم
استناداً إلى التحليل التقني لـ GoPlus، يُشتبه في أن المهاجم استولى على صلاحية ADMIN الخاصة بدالة add_integrator_config، ثم استخدم ثغرة عدم التطابق في الرموز داخل دالة calculate_taker_fees، واستمر في استخراج أرباح من الرموز عبر تكرار العملية مرات عدة.
بحسب البيان الرسمي الصادر عن Aftermath Finance، تتمثل الآلية الأساسية التي تم استغلالها في «رسوم كود المُنشئ» (builder code fees) — وهي آلية تعيد جزءاً من رسوم المعاملات إلى واجهة الاندماج أو خدمة توجيه الطلبات. ويشير البيان إلى أن منطق العقد «يسمح بشكل غير صحيح بتعيين رسوم كود المُنشئ بقيمة سالبة»، إذ أتاح هذا العيب في التصميم للمهاجم ضبط قيمة رسوم أقل من الصفر، مما مكّنه من مواصلة سحب الأموال من البروتوكول.
وأوضحَت Aftermath Finance أن نطاق تأثير الهجوم محصور في بروتوكول عقود السوافي الدائمة؛ ولم تتأثر المعاملات الفورية، ولا موجّهات الذكاء عبر البروتوكولات، ولا مشتقات afSUI للستاكينج السائل، ولا أحواض AMM، كما ظلت تعمل بشكل طبيعي. وشددت Aftermath Finance أيضاً على أن الهجوم لا يُعد مشكلة أمنية في لغة Move نفسها.
كما أن عنوان محفظة Sui المرتبط بالمهاجم 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e تم تتبعه بشكل علني عبر مستكشف Sui Suivision.
ردّ Aftermath Finance وخطة التعويض
استناداً إلى التصريح العلني الذي أدلى به المؤسس المشارك airtx على منصة X، أفادت Aftermath Finance بأنه بعد وقوع الهجوم، أوقفت فرقتهما تداولاً مشبوهاً/خبيثاً، وبدأت أعمال الاستعادة بالتعاون مع شركة أمن على السلسلة Blockaid داخل «غرفة العمليات» (war room). وBlockaid هي منصة أمنية على السلسلة موثوقة لدى MetaMask وCoinbase وغيرها من المحافظ الرئيسية، وتتولى المساعدة في تحليل متجهات الهجوم وتتبع محفظة المهاجم.
وبحسب إعلان Aftermath Finance الأحدث، وبدعم من Mysten Labs وSui Foundation، سيحصل جميع المستخدمين المتأثرين على تعويض كامل. كما قالت Aftermath Finance إنها تواصل حالياً أعمال استرداد الأموال.
خلفية هجمات أمنية في منظومة Sui DeFi
استناداً إلى تقارير من القطاع، شهدت منظومة Sui في أبريل 2026 سلسلة من حوادث أمنية متعددة: تعرضت خزينة Volo لهجوم بخسائر تقارب 3.5 مليون دولار (تم استرداد نحو 60% منها)؛ كما كشفت Scallop قبل الهجوم بيومين عن ثغرة في الاقتراض السريع (flash loan) تستهدف عقد مكافآت sSUI المتروكة، لتصل الخسائر إلى 142 ألف دولار.
وبحسب إحصاءات من القطاع، تجاوزت خسائر الثغرات الأمنية في عموم DeFi خلال أبريل 2026 0.606 مليار دولار، وهو ما يجعله أحد أشد الشهور خطورة منذ فبراير 2025. ومن أبرز الأحداث: ثغرة Kelp DAO rsETH (2.92 مليار دولار)، والهجوم بالهندسة الاجتماعية ضد Drift Protocol (2.85 مليار دولار)، واستغلال ثغرات في مشاريع مثل Mantra Chain وLista DAO وغيرها.
الأسئلة الشائعة
متى حدثت واقعة هجوم Aftermath Finance وما الأسباب التقنية؟
استناداً إلى التحليل التقني لـ GoPlus والبيان الرسمي من Aftermath Finance، وقع الهجوم في 29 أبريل 2026. وقد استغل المهاجم صلاحية ADMIN الخاصة بدالة add_integrator_config، وثغرة عدم التطابق في الرموز داخل دالة calculate_taker_fees. واستند ذلك إلى تكرار استخراج الرموز من خلال تعيين رسوم كود المُنشئ بقيمة سالبة، لتُؤكد الخسارة عند 1.14 مليون دولار.
كيف تضمن Aftermath Finance حصول أموال المستخدمين على تعويض كامل؟
استناداً إلى البيان الرسمي من Aftermath Finance، وبدعم من Mysten Labs وSui Foundation، سيحصل جميع المستخدمين المتأثرين على تعويض كامل. كما تقول Aftermath Finance إنها تواصل حالياً أعمال استرداد الأموال.
هل شمل هذا الهجوم ثغرات أمنية في لغة Sui Move؟
بحسب بيان Aftermath Finance الرسمي، لا يُعد هذا الهجوم مشكلة أمنية في لغة Move نفسها، بل ناجماً عن خطأ في منطق إعداد الرسوم داخل عقد بروتوكول محدد. ولم تتأثر منتجات أخرى مثل المعاملات الفورية، وafSUI للستاكينج السائل، وأحواض AMM.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
أعادت PayPal تنظيم ثلاث وحدات أعمال رئيسية، لتصبح العملات المشفرة وPYUSD كقسمين محوريين
أعلنت PayPal رسميًا في 30 أبريل عن إعادة تنظيم استراتيجي، حيث ستقوم بتبسيط هيكل أعمالها إلى ثلاث ركائز رئيسية: حلول الدفع وPayPal، وخدمات التمويل الاستهلاكي وVenmo، وخدمات الدفع والقطاع الخاص بالعملات المشفرة؛ وضمن ذلك، تم إنشاء قسم خدمات الدفع والتمويل المشفّر بشكل مستقل، بهدف دمج Braintree ومعالجة الشركات الصغيرة والمتوسطة، والخدمات ذات القيمة المضافة، وأعمال العملات المشفرة (بما في ذلك العملة المستقرة PYUSD).
MarketWhisperمنذ 8 د
تطلق OKX بروتوكول مدفوعات الوكلاء لدورات أعمال الذكاء الاصطناعي
قدّم تَبادل العملات المشفّرة OKX بروتوكول مدفوعات الوكلاء (APP) يوم الأربعاء، مع وصفه بأنه معيار مفتوح لمدفوعات تقوم على “الوكلاء” ومصمم لدعم الدورات التجارية الكاملة لوكلاء الذكاء الاصطناعي. ويأتي الإعلان في أعقاب عروض مماثلة، بينها x402، وهو بروتوكول مفتوح تم احتضانه من قِبل Coinbase، و
CryptoFrontierمنذ 1 س
Kite يطلق تشغيل الشبكة الرئيسية، ويطرح طبقة التحكم في المدفوعات لتراخيص وكلاء الذكاء الاصطناعي
وفقًا لإعلان Kite الرسمي، أطلقت منصة البنية التحتية للدفع Kite الموجهة لاقتصاد وكلاء الذكاء الاصطناعي (AI Agent) رسميًا الشبكة الرئيسية في 30 أبريل. خلال فترة تشغيل الشبكة الرئيسية، يقوم Kite Treasury بسداد تكاليف رسوم الشبكة، دون أن يشعر المستخدمون بوجود رسوم الغاز. كما أتاح Kite للجمهور Kite Agent Passport كطبقة تفويض ودفع لوكلاء الذكاء الاصطناعي.
MarketWhisperمنذ 1 س
أطلقت Pump.fun ميزة عملات خيرية في 30 أبريل، تتيح التبرع مباشرة برسوم المُنشئ إلى أكثر من 10,000 مؤسسة خيرية معتمدة
وبحسب SolanaFloor، أطلقت Pump.fun ميزة Charity Coins بالشراكة مع Donate في 30 أبريل، بما يتيح للمبدعين توجيه رسوم منشئي عملات الميم إلى أكثر من 10,000 مؤسسة خيرية معتمدة. تهدف هذه الميزة إلى تقليل مخاطر الضرائب، وتقليص الاحتيال، وضمان الامتثال للتبرعات و
GateNewsمنذ 2 س
بروتوكول سكاي يسجل رقماً قياسياً عند إيرادات فصل الربع الأول بقيمة 123.79 مليون دولار، بزيادة 28.9% على أساس سنوي
بحسب مؤسسة Sky Frontier Foundation، بلغت إيرادات بروتوكول Sky الفصلية 123.79 مليون دولار في الربع الأول 2026، بزيادة 28.9% على أساس سنوي و56.8% على أساس ربع سنوي، مسجلةً رقمًا قياسيًا للبروتوكول. وبلغ صافي الفائض 46.04 مليون دولار، ما يمثل 92.4% من صافي فائض عام 2025 بالكامل.
بروتوكول
GateNewsمنذ 2 س
تحديث الوثائق الرسمية من Hyperliquid: تحديث HIP-4 يمنح الإيداع المجاني لنتيجة الرموز عند فتح الصفقات
بناءً على تحديث رسمي من Hyperliquid في 30 أبريل، أوضح فريق Hyperliquid في مستنداته صراحةً منطق الرسوم الخاصة برموز نتائج HIP-4، وتتمثل القاعدة الأساسية في أن معاملات رموز النتائج لا تخضع للرسوم إلا عند إغلاق الصفقة أو التسوية، بينما لا تُفرض الرسوم عند فتح الصفقة؛ وقد أُتيح الآن لصيغة الرسوم وصولٌ للمطورين. في مارس، أعلنت Hyperliquid عن إطلاق شبكة اختبار لميزة HIP-4.
MarketWhisperمنذ 2 س
