(示意圖/圖片取自unsplash)
交易瀏覽器Phalcon在X平台發文表示,TrustPad被攻擊是由於質押邏輯中的幾個設計缺陷,即透過不受信任的外部調用操縱鎖,定期來獲取待定獎勵。
LaunchpadLockableStake合約的receiveUpPool函數中,如果帳戶未鎖定,則會設置depositLockStart時間。然後攻擊者操縱它立即存款(透過receiveUpPool函數)並提款以累積待處理的獎勵。
此外,另一個函數stakePendingRewards允許攻擊者將累積的待處理獎勵轉換為質押金額,從而允許攻擊者在以後的交易中,以TPAD代幣的形式提取質押獎勵並出售代幣以獲利。
【本文出處MarsBit/幣特財經編譯】