安全團隊：Acala項目方對aUSD池子的獎勵倍率進行了修改，導致池子的獎勵被放大

8月14日消息，波卡生態項目Acala因鏈上設置錯誤，導致aUSD增發。以下是慢霧安全團隊分析：

1. 項目方在2022-08-13 22:23:12 (+UTC)調用了 update_dex_saving_rewards 對 aUSD 池子的獎勵倍率進行了修改，修改為500000000000000000。

2. 在區塊的 hook 函數 on_initialize 中會去調用 accumulate_dex_saving 函數,在函數中池子的獎勵總量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base，由于 dex_saving_reward_rate 在上一步中已經被放大了導致池子的獎勵也被放大。

3. 最后用戶領取到了錯誤的獎勵。

安全團隊：dydx的SDK用了一個惡意的第三方組件，可能導致用戶憑據泄露:9月24日消息，據Beosin EagleEye平臺輿情監測顯示，Maciej Mensfeld發現的服務器異常文件http://api.circle-cdn.com/setup.py，通過對比代碼，發現與樣某樣本庫中的一份惡意代碼樣本一致 https://dwz.win/azUF

Beosin安全團隊深入分析發現攻擊者通過在本機執行以下代碼獲取系統敏感信息：接著利用socket庫函數gethostname提取dns解析，同時獲取當前用戶基本信息并進行數據封裝。然后將組裝好的信息利用curl命令以文件格式發到api.circle-cdn.com的服務器上，以隨機數字命名的txt格式，執行上傳之后并做了清理工作，沒有留下生成的臨時文件。

Beosin安全團隊總結：此腳本目的是獲取用戶計算機上的敏感配置文件，有些配置文件可能會導致重要的賬戶憑證信息失竊，會帶來較大的風險。[2022/9/25 7:19:25]

安全團隊：NFT項目Dope Ape Club Discord服務器遭攻擊，請勿點擊釣魚鏈接:7月9日消息，據CertiK監測，NFT項目Dope Ape Club的Discord服務器遭到攻擊。聊天被鎖定，攻擊者發布了一個釣魚鏈接。請社區用戶不要點擊鏈接、鑄造或批準任何交易。[2022/7/9 2:02:21]

安全團隊：NFT項目Wibin Wolves Discord服務器遭到攻擊:6月4日消息，CertiK在推特上表示收到報告稱NFT項目Wibin Wolves的Discord服務器遭到攻擊，社區用戶被踢，所有服務器邀請鏈接被關閉。Wibin Wolves官方將在24小時內在推特上宣布下一步行動。[2022/6/4 4:02:01]