Beosin：Ankr Staking遭遇私钥泄露，目前Wombat池子被掏空

11月26日消息，加密交易所Coinsquare表示此前遭遇数据泄露，导致用户个人信息泄露，11月19日，Coinsquare暂时关闭运营以调查其平台上的异常活动，几天的积极措施让Coinsquare逐渐恢复运营。 在给投资者的后续电子邮件中，Coinsquare承认他们的客户数据库在事件中泄露了个人信息，第三方很可能访问了该数据库。（cointelegraph）

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，据 Edge 钱包官方信息显示，用户的私钥明文在特定场景下有被 Edge 日志服务采集的可能性，目前大概有 2000 个私钥存在风险。

12月2日，Ankr官方社交媒体发文称，当前Ankr Staking的所有底层资产都是安全的，所有基础设施服务不受影响。

金色财经报道，据OKLink安全团队透露，沈波个人钱包资产被盗的情况是其被盗地址直接发起转账交易，将ETH，USDC等资产transfer给其它地址，而不是transferFrom，所以其被盗原因不是常规的授权钓鱼，很可能是私钥泄露。另外，盗窃地址已经将3800万USDC置换为DAI，无法再通过中心化实体进行冻结。 此前报道，沈波价值4200万美元的个人资产钱包被盗。

11月2日消息，链兑换协议Rubic发推称，管理员的一个钱包地址被盗用了，该地址管理RBC/BRBC跨链桥和质押奖励，团队怀疑是恶意软件盗取了私钥。攻击者在Uniswap和PancakeSwap上售出了大约3400万RBC/BRBC，用户的质押资金是安全的，智能合约没有被利用。团队正在处理这种情况，会及时通知接下来的步骤，Staking奖励将在几天后恢复。

8月14日消息，波卡生态项目Acala因链上设置错误，导致aUSD增发。以下是慢雾安全团队分析： 1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改，修改为500000000000000000。 2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base，由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。 3. 最后用户领取到了错误的奖励。