（示意圖／圖片取自unsplash）

交易瀏覽器Phalcon在X平台發文表示，TrustPad被攻擊是由於質押邏輯中的幾個設計缺陷，即透過不受信任的外部調用操縱鎖，定期來獲取待定獎勵。

LaunchpadLockableStake合約的receiveUpPool函數中，如果帳戶未鎖定，則會設置depositLockStart時間。然後攻擊者操縱它立即存款（透過receiveUpPool函數）並提款以累積待處理的獎勵。 

此外，另一個函數stakePendingRewards允許攻擊者將累積的待處理獎勵轉換為質押金額，從而允許攻擊者在以後的交易中，以TPAD代幣的形式提取質押獎勵並出售代幣以獲利。

【本文出處MarsBit／幣特財經編譯】