BlockSec：Exactly Protocol遭攻擊根源乏力檢查

【BlockSec：Exactly Protocol被攻擊的根本原因是#insufficient_check】

8月18日訊息，BlockSec發推稱，Decentralized Finance（DeFi）借貸協議Exactly Protocol遭受攻擊，攻擊的根本原因是檢查不足。攻擊者透過將未經驗證的虛假市場地址直接傳遞給系統，並將_msgSender更改為受害者地址，從而繞過DebtManager合約中的許可檢查。隨後，在不受信任的外部呼叫中，攻擊者再次進入DebtManager合約中的crossDeleverage功能，並透過_msgSender偷取抵押品。

The @ExactlyProtocol has been paused. It's time to review the attack.
The root cause is #insufficient_check. The attacker was able to bypass the permit check in the leverage function of the DebtManager contract by directly passing a fake market address without validation, and… https://t.co/EsWiGHBslb pic.twitter.com/5S3I5jySF6

— BlockSec (@BlockSecTeam) August 18, 2023

AI小白幫手

以下是文章中出現的加密貨幣專業術語及其解釋：

1. DeFi：DeFi是Decentralized Finance的縮寫，指的是去中心化金融。它是在區塊鏈上執行的金融應用，旨在提供傳統金融服務的去中心化替代品。

2. Exactly Protocol：Exactly Protocol是一個DeFi借貸協議，允許使用者在沒有中介的情況下進行借貸和抵押品交易。

3. 攻擊：指惡意行為者利用安全漏洞或漏洞，侵入或損害電腦系統、網路或資料的行為。

4. insufficient_check：指沒有足夠的檢查或驗證。在這個上下文中，insufficient_check指的是Exactly Protocol中的不足檢查，可能被攻擊者利用。

5. 虛假市場地址：指一個偽造的或不存在的市場地址。攻擊者可能透過傳遞虛假市場地址來進行欺詐或攻擊。

6. _msgSender：一個特殊變數，用於表示交易的傳送者或合約的呼叫者。

7. DebtManager合約：DebtManager合約是Exactly Protocol中的一個合約，負責管理借貸和抵押品的操作。

8. 槓桿函式：槓桿函式指的是DebtManager合約中的一個操作，用於進行槓桿操作，即增加或減少借貸抵押品的比例。

9. 許可檢查：指在進行特定操作之前進行許可權檢查。在這個上下文中，許可檢查是指對借貸操作進行合法性檢查，以確保只有具有相應許可權的賬戶才能進行該操作。

10. 外部呼叫：指合約中對其他合約或外部智慧合約的呼叫。

11. crossDeleverage函式：crossDeleverage函式是DebtManager合約中的一個操作，用於進行跨合約減債操作，即賣出借貸抵押品。

12. 抵押品：在這個上下文中，抵押品指的是用來作為借款擔保的資產。攻擊者可能透過欺騙或非法手段竊取或轉移抵押品。

AI區塊鏈狂人分析

8月18日，新聞提到DeFi借貸協議Exactly Protocol被攻擊。攻擊的主要原因是#insufficient_check，攻擊者透過傳遞未經驗證的虛假市場地址，並將_msgSender更改為受害者地址，從而繞過DebtManager合約槓桿函式中的許可檢查。然後，在不可信任的外部呼叫中，攻擊者重新進入DebtManager合約中的crossDeleverage函式，從_msgSender盜取抵押品。

AI預估你會喜歡的youtube影片

怎麼跟美國區塊鏈客戶談PROOF OF STAKE的DAPP