Phalcon：TaoPad受到多个交易的攻击

金色财经报道，Phalcon在X平台发文表示，系统检测到BSC上的SHIBA ICO项目因锁定机制不当而受到攻击。攻击者用20枚BNB购买了5.077亿锁定的SHIBA。然而，锁定的SHIBA可以使用batchTransferLockToken函数转移到PancakePair，这使得攻击者可以绕过指定的锁定期。在这种情况下，攻击者可以立即从PancakePair交换出BNB，从而获利101.7枚BNB。

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，Astrid | Restaking Pool由于提款功能存在缺陷而受到攻击。withdraw ()函数的参数（即代币地址和代币数量）是可操作的。 开发过程展开如下： 1. 创建了 3 个假代币：A、B和C。 2. 使用假代币1提现并领取stETH。 3. 使用假代币2提现并领取rETH。 4. 使用假代币3提现并领取cbETH。 5. 将stETH、rETH、cbETH转换为ETH。

金色财经报道，Phalcon在X平台发文表示，系统检测到Arbitrum上的一个未知项目受到攻击，导致损失超过4万美元。这与10月发生的Hope.money事件类似。攻击者（0x9e1f13）发起了一系列攻击交易。

金色财经报道，Phalcon在X平台发文表示，请注意，最近治理攻击的风险有所增加。除了与Indexed Finance相关的攻击外，我们还观察到同一攻击者多次针对Signata Project发起攻击。本质上该提案旨在将timelock合约持有的代币批准给恶意合约，该合约目前已被项目列入黑名单。

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。

金色财经报道，Phalcon在X平台发文称，已检测到Polygon上存在针对Endblock的攻击，攻击者获利约1.8万美元。