Launchpad平台TrustPad质押合约遭攻击

　　Launchpad平台TrustPad在X平台发文表示，其中一项质押合约遭到攻击，团队正在调查该漏洞。与此同时请不要交易TPAD。

　　团队将在调查结束后发布详细信息。快照即将进行，钱包和资金是安全的。

　　交易浏览器Phalcon在X平台发文表示，TrustPad被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过receiveUpPool函数）并提款以积累待处理的奖励。

　　此外，另一个函数stakePendingRewards允许攻击者将累积的待处理奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获利。

　　据Cyvers Alerts监测，TrustPad的攻击者在混币器Tornado Cash存入了615.03枚BNB（约合15.2万美元）。