Ho fornito a FlipsideAI la transazione di sfruttamento di BAL. Ha esaminato le tracce decodificate per identificare come ha funzionato lo sfruttamento e ha incrociato le ricerche sul web. Revisione interessante. "⚠️ LO SFRUTTAMENTO: L'attaccante ha affermato che il contratto di attacco possiede fondi impostando op.sender all'indirizzo del proprio contratto. Il Vault ha controllato se quell'indirizzo avesse un saldo (ce l'aveva - fondi del pool), ma non ha mai verificato che msg.sender == op.sender." @flipsidecrypto Rapporto qui: