安全团队：Acala项目方对aUSD池子的奖励倍率进行了修改导致池子的奖励被放大

8月8日消息，据慢雾区消息，BSC上的 EGD_Finance 项目遭受黑客攻击，导致其池子中资金被非预期的取出。慢雾安全团队进行分析后以简讯的形式分享给大家 1. 由于 EGD_Finance 合约中获取奖励的 claimAllReward 函数在计算奖励时会调用 getEGDPrice 函数来进行计算 EGD 的价格, 而 getEGDPrice 函数在计算时仅通过 pair 里的 EGD 和 USDT 的余额进行相除来计算 EGD 的价格 2. 攻击者利用这个点先闪电贷借出池子里大量的 USDT, 使得 EGD 代币的价格通过计算后变的很小, 因此在调用 claimAllReward 函数获取奖励的时候会导致奖励被计算的更多, 从而导致池子中的 EGD 代币被非预期取出 本次事件是因为 EGD_Finance 的合约获取奖励时计算奖励的喂价机制过于简单, 导致代币价格被闪电贷操控从而获利。

据慢雾安全团队情报，2022 年 12 月 14 日， BSC 链上的 NimbusPlatform 项目遭到攻击，攻击者获利约 278 枚 BNB。慢雾安全团队以简讯的形式分享如下： 1. 攻击者首先在 8 天前执行了一笔交易（0x7d2d8d），把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币，然后把 GNIMB 代币转入 Staking 合约作质押，为攻击作准备； 2. 在 8 天后正式发起攻击交易（0x42f56d3），首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB，然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出； 3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取，奖励的计算是和 rate 的值正相关的，而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格，由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的，导致其由于闪电贷兑换出大量的代币而变高，最后计算的奖励也会更多； 4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB，归还闪电贷获利； 此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控，从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。

12月2日消息，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击，导致增发了大量的aBNBc，从而影响了pair（0x272c...880）中的WBNB和aBNBc的价格，而Wombat项目的WBNB和aBNBc兑换率约为1:1，导致存在套利空间。目前套利地址（0x20a..76f）共获利约200万美元，Beosin Trace将持续对被盗资金进行监控。

金色财经消息，Acala更新aUSD异常增发事件链上追踪进度，已定位到总计30.2亿异常增发aUSD的剩余的1.7%（约5200万），不过大部分跟踪工作都用于分析所涉及地址的交易和aUSD错误铸币的移动。Acala表示将尽快公布调查结果。 此前报道，Acala在8月22日币更新aUSD异常增发事件链上追踪结果，官方追踪了16个已识别地址声称的30亿枚异常增发的aUSD。此外目前社区公投通过并销毁了异常增发的29.7亿枚aUSD。

9月17日消息，CertiK监测显示，NFT项目POUR KOKO的官方Discord被入侵，并在项目公告中发布了一个钓鱼链接，用户不要点击。

10月20日消息，NFT交易所LooksRare平台对挂单奖励规则进行更新：1.更新后，每个钱包地址只有5个NFT系列合集的挂单可以获得奖励；更新前，每个钱包地址有资格同时获得奖励的有15个NFT系列合集。 2.更新后，每个钱包地址的每个合集最多200个符合条件的挂单获得奖励，这将由挂单价格按升序确定；更新前，在1.4 倍以内的所有挂单都可以获得奖励。 以上规则从2022年10月20日上午9:00 (UTC) 开始的挂单奖励期开始生效。本次更新（连同上一次更新）旨在为合规用户增加挂单奖励的价值，同时更有效地为热门NFT系列创造有意义的流动性。