BlockSec 在 X(原Twitter)發文稱,DeFi 借貸協議 Exactly Protocol 被攻擊的根本原因是 #insufficient_check,攻擊者通過直接傳遞未經驗證的虛假市場地址,並將 _msgSender 更改爲受害者地址,從而繞過 DebtManager 合約槓桿函數中的許可檢查。然後,在不受信任的外部調用中,攻擊者重新進入 DebtManager 合約中的 crossDeleverage 函數,並從 _msgSender 種盜取抵押品。
BlockSec 在 X(原Twitter)發文稱,DeFi 借貸協議 Exactly Protocol 被攻擊的根本原因是 #insufficient_check,攻擊者通過直接傳遞未經驗證的虛假市場地址,並將 _msgSender 更改爲受害者地址,從而繞過 DebtManager 合約槓桿函數中的許可檢查。然後,在不受信任的外部調用中,攻擊者重新進入 DebtManager 合約中的 crossDeleverage 函數,並從 _msgSender 種盜取抵押品。
