慢雾：TrustPad遭受攻击是由于获取错误的LockStartTime导致锁定时间被篡改

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。

金色财经报道，DeFi协议Trader Joe表示，我们已收到关于前端界面中可能存在漏洞的警报。我们的团队正在立即进行彻底调查。我们强烈建议所有用户不要在 Trader Joe DEX 上进行交易和执行任何交易。 慢雾创始人余弦在X平台发文称，Trader Joe前端被篡改（当前已经打不开），合约地址被替换为了钓鱼合约地址。

4月20日消息，慢雾发布提醒称，跨链聚合器 PLEXUS 合约疑似被攻击。

7月31日消息，据慢雾首席信息安全官23pds发推称，Vyper官方文档推荐的实际上是一个错误的版本。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

金色财经报道，借贷平台 Compound Finance 执行了一项治理提案，更新了包含代码错误的 Chainlink 价格信息。此代码错误导致人们借贷 cETH的交易被恢复。这意味着用户不能借入或提取抵押品。用户仍然可以偿还债务并为借入的其他资产头寸添加抵押品，以避免潜在的清算。代码错误还导致 Compound 的前端暂时停止工作。 Compound 的 CEO Robert Leshner 证实目前没有资金面临风险，用户仍然可以偿还债务并添加抵押品以避免清算。但cETH可能需要 7 天才能正常运行。可能会有更多的治理建议来纠正这种情况。