交易浏览器Phalcon在社交媒体X(原推特)上称,TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷,即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中,如果账户未锁定,则会设置depositLockStart时间。然后攻击者操纵它立即存款(通过 receiveUpPool 函数)并提款以积累待处理的奖励。此外,另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额,从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。