PancakeSwap V2 – OCAUSDC-paari BSC-kohtane puhver on täna avastatud kahtlase tehingu tõttu rünnaku all. Rünnak lõppes ligi 500 000 USD väärtuses USDC turuväärtuse kaotusega, mis tühjendati ühesainsas tehingus.
Vastavalt Blockchain turvalisusplatvormide teadetele kasutas ründaja deflatsioonilise müügiOCA() loogika haavatavust, mis võimaldas tal puhvri reservide manipuleerimiseks juurdepääsu. Lõpuks sai ründaja endaga kaasa hinnanguliselt umbes 422 000 USD.
Rünnak toimus flash-laenude ja flash-swapi kombinatsiooni abil, kui korduvalt kutsuti OCA swapHelper-funktsiooni. See eemaldas OCA tokenid otse likviidsuspargist vahetuste käigus, paisutades kunstlikult OCA paari hinna ning võimaldades USDC tühjendamist.
Kuidas OCA/USDC rünnak toimus?
Rünnak viidi väidetavalt läbi kolme tehinguga. Esimene tehing viis rünnaku ellu, järgnevad kaks olid mõeldud lisapalkadeks ründajale.
“Kokku maksti 48club-puissant-builderile 43 BNB ja 69 BNB, jättes lõplikuks hinnangulise kasumiks 340 000 USD,” kirjutas Blocksec Phalcon X-s juhtumi kohta, lisades, et sama blokis ebaõnnestus veel üks tehing positsioonil 52, ilmselt sellepärast, et ründaja oli seda eelnevalt teostanud.
PancakeSwapis võimaldavad flash-laenud kasutajatel laenata märkimisväärseid krüptovarade summasid tagatiseta; samas tuleb laenatud summa koos tasudega tagasi maksta sama tehingu bloki jooksul.
Seda kasutatakse peamiselt arbitraaži- ja likvideerimisstrateegiates Binance Smart Chain’il, ning laene vahendab enamasti PancakeSwap V3 flash swap funktsioon.
Veel üks flash-laenude rünnak avastati nädalaid tagasi
2025. aasta detsembris võimaldas üks rünnak ründajal DMi/WBNB-paari PancakeSwap likviidsuspargist välja võtta ligi 138,6 WBNB, teenides kokku umbes 120 000 USD.
See rünnak näitas, kuidas flash-laenude ja AMM-paari sisemiste reservide manipuleerimise kombinatsioon sync() ja callback-funktsioonide kaudu võib kasutada pargi täielikku tühjendamiseks.
Ründaja lõi esmalt rünnaku lepingu ja kutsus f0ded652() funktsiooni, mis on spetsialiseerunud lepingu sisendpunkti, pärast mida leping kutsus Moolah protokolli flashLoan’i, taotledes ligi 102 693 WBNB.
Kui flash-laen oli vastu võetud, algatas leping initiaalselt onMoolahFlashLoan(…) callback’i. Esimene asi, mida callback teeb, on DMi tokenite saldo kindlakstegemine PancakeSwap pargis, et valmistuda paari reservide manipuleerimiseks.
Tuleb märkida, et haavatavus ei ole flash-laenudes, vaid PancakeSwap lepingus, mis võimaldab reservide manipuleerimist flash swap’i ja sync() kombinatsiooni abil, ilma kaitseta pahatahtlike callback’ide eest.
Allikas: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
