「金色财经」Phalcon:TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷
「金色财经」据金融报道,交易浏览器Phalcon在社交媒体X(原推特)上表示,TrustPad协议因质押逻辑中的几个设计缺陷而受到攻击,即通过不可信的外部调用操作锁定期获得待定奖励。在LaunchpadLockablestake合同的receiveUppol函数中,如果帐户未锁定,则将设置depositlockstart时间。然后攻击者操纵其立即存款(通过receiveUppol函数),并提款以积累待处理的奖励。此外,另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额,以便攻击者可以在未来交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。