Pool-ul PancakeSwap V2 OCA/USDC pe BSC golit de 422.000$

Pool-ul PancakeSwap V2 pentru OCAUSDC pe BSC a fost exploatat într-o tranzacție suspectă detectată astăzi. Atacul a rezultat în pierderea a aproape 500.000 de dolari în valoare de USDC, drenată într-o singură tranzacție.

Conform rapoartelor de la platformele de securitate Blockchain, atacatorul a exploatat o vulnerabilitate în logica deflațională sellOCA(), oferindu-i acces pentru a manipula rezervele pool-ului. Suma finală cu care atacatorul a scăpat a fost de aproximativ 422.000 de dolari.

Exploatarea a implicat utilizarea împrumuturilor flash și swap-urilor flash combinate cu apeluri repetate către funcția swapHelper a OCA. Aceasta a eliminat token-urile OCA direct din pool-ul de lichiditate în timpul swap-urilor, umflând artificial prețul on-pair al OCA și permițând drenarea USDC

Cum a avut loc exploatarea OCA/USDC?

Atacul a fost executat prin trei tranzacții. Prima pentru a efectua exploatarea, iar următoarele două pentru a servi ca mită suplimentară pentru constructor.

"În total, 43 BNB plus 69 BNB au fost plătite către 48club-puissant-builder, lăsând un profit final estimat de 340.000 de dolari," a scris Blocksec Phalcon pe X despre incident, adăugând că o altă tranzacție din același bloc a eșuat și la poziția 52, probabil pentru că a fost frontrun-uită de atacator.

Împrumuturile flash pe PancakeSwap permit utilizatorilor să împrumute sume semnificative de active cripto fără garanție; totuși, suma împrumutată plus comisioane trebuie rambursată în același bloc de tranzacție.

Acestea sunt utilizate în principal în strategii de arbitraj și lichidare pe Binance Smart Chain, iar împrumuturile sunt de obicei facilitate de funcția flash swap a PancakeSwap V3.

Un alt atac cu împrumut flash a fost detectat cu săptămâni în urmă

În decembrie 2025, o exploatare a permis unui atacator să retragă aproximativ 138,6 WBNB din pool-ul de lichiditate PancakeSwap pentru perechea DMi/WBNB, obținând aproximativ 120.000 de dolari.

Acel atac a demonstrat cum o combinație de împrumuturi flash și manipularea rezervelor interne ale perechii AMM prin funcțiile sync() și callback poate fi folosită pentru a goli complet pool-ul.

Atacatorul a creat mai întâi contractul de exploatare și a apelat funcția f0ded652(), un punct de intrare specializat în contract, după care contractul apelează flashLoan din protocolul Moolah, solicitând aproximativ 102.693 WBNB.

La primirea împrumutului flash, contractul inițiază callback-ul onMoolahFlashLoan(…). Primul lucru pe care îl face callback-ul este să afle soldul token-ului DMi în pool-ul PancakeSwap pentru a pregăti manipularea rezervei perechii.

Trebuie menționat că vulnerabilitatea nu se află în împrumutul flash, ci în contractul PancakeSwap, permițând manipularea rezervelor printr-o combinație de flash swap și sync() fără protecție împotriva callback-urilor malițioase.