BlockSec 在 X(原Twitter)发文称,DeFi 借贷协议 Exactly Protocol 被攻击的根本原因是 #insufficient_check,攻击者通过直接传递未经验证的虚假市场地址,并将 _msgSender 更改为受害者地址,从而绕过 DebtManager 合约杠杆函数中的许可检查。然后,在不受信任的外部调用中,攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数,并从 _msgSender 种盗取抵押品。