「金色财经」Phalcon：TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷

「金色财经」据金融报道，交易浏览器Phalcon在社交媒体X(原推特)上表示，TrustPad协议因质押逻辑中的几个设计缺陷而受到攻击，即通过不可信的外部调用操作锁定期获得待定奖励。在LaunchpadLockablestake合同的receiveUppol函数中，如果帐户未锁定，则将设置depositlockstart时间。然后攻击者操纵其立即存款(通过receiveUppol函数)，并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，以便攻击者可以在未来交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。