火币HTX报道称，交易浏览器Phalcon在社交媒体X(原推特)上表示，Trustpad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不可信的外部呼叫锁定期获得待定奖励。在LaunchpadlockableStake合同的receiveuppol函数中，如果帐户未锁定，则会设置depositlockStart时间。然后攻击者操纵它立即存款(通过攻击者操纵它立即存款) receiveUpPool 函数)并提现以积累待处理的奖励。此外，另一个函数stakePendingrewards允许攻击者将累计待奖励转换为质押金额，然后允许攻击者在未来交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。