安全团队：Acala项目方对aUSD池子的奖励倍率进行了修改，导致池子的奖励被放大

8月14日消息，波卡生态项目Acala因链上设置错误，导致aUSD增发。以下是慢雾安全团队分析：

1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改，修改为500000000000000000。

2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base，由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。

3. 最后用户领取到了错误的奖励。

其它快讯：

安全团队：Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息，慢雾发布对 Solana 攻击事件的分析，据 Solana 基金会提供的数据，被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 时，发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务，在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据，并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/，并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”，而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布，所以 Slope 该日期之后的用户受到影响。

对于另外 60% 的使用 Phantom Wallet 用户，分析 Phantom（版本：22.07.11_65）钱包后发现，Phantom（Android，版本：22.07.11_65）也使用 sentry 服务收集用户信息，但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]

安全团队：7月同一团队已进行至少7次针对Discord的攻击，盗取超200枚NFT:7月11日消息，据CertiK统计，仅在7月份就发现了至少7次针对Discord的攻击，背后都是同一个钓鱼网站。仅此个人/团队就盗取了超过200枚NFT。请用户注意防范。[2022/7/11 2:04:59]

动态 | 安全团队：Bancor被盗资金疑似转移至火币并进行了清算:Sentinel Protocol网络安全研究员Elizabeth Yeung表示，2018年7月Bancor发生的安全漏洞事件的攻击者在数月的沉寂之后，最近开始转移他们盗取的ETH。Uppsala的安全运营团队在追踪其行动中收集并分析了相关区块链的数据发现，攻击者似乎将被盗资金转移到了火币并通过各种交易进行了资金分割，可能已经清算了被盗资金。据Odaily星球日报此前消息，Bancor网络在2018年7月9日遭致黑客攻击，损失了价值1300万美元的加密货币[2019/4/6]

相关资讯