J'ai donné à FlipsideAI la transaction d'exploitation de BAL. Ils ont analysé les traces décodées pour identifier comment l'exploitation a fonctionné et ont croisé avec des recherches sur le web. Revue intéressante. "⚠️ L'EXPLOIT : L'attaquant a affirmé que le contrat d'attaque possède des fonds en définissant op.sender à l'adresse de leur contrat. Le Vault a vérifié si cette adresse avait un solde (c'était le cas - fonds du pool), mais n'a jamais vérifié si msg.sender == op.sender." @flipsidecrypto Rapport ici :