Phalcon：TrustPad遭攻击是由于质押逻辑中的几个设计缺陷

火星财经消息，交易浏览器Phalcon在X平台发文表示，TrustPad被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过receiveUpPool函数）并提款以积累待处理的奖励。 此外，另一个函数stakePendingRewards允许攻击者将累积的待处理奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD**的形式提取质押奖励并出售**以获利。

本文 巴适财经 原创，转载保留链接！网址：/article/238906.html