Odaily星球日報訊交易瀏覽器Phalcon在X平台發文表示,TrustPad被攻擊是由於質押邏輯中的幾個設計缺陷,即透過不受信任的外部調用操縱鎖定期來獲取待定獎勵。 LaunchpadLockableStake合約的receiveUpPool函數中,如果帳號未鎖定,則會設定depositLockStart時間。然後攻擊者操縱它立即存款(透過receiveUpPool函數)並提款以累積待處理的獎勵。此外,另一個函數stakePendingRewards允許攻擊者將累積的待處理獎勵轉換為質押金額,從而允許攻擊者在以後的交易中以TPAD代幣的形式提取質押獎勵並出售代幣以獲利。
dark