Пул PancakeSwap V2 для OCA/USDC на BSC був зламаний у підозрілій транзакції, виявленій сьогодні. Атака призвела до втрати майже 500 000 доларів США на ринку USDC, злитих в одній транзакції.
Згідно з повідомленнями платформ безпеки блокчейну, зловмисник використав вразливість у дефляційній логіці sellOCA(), отримавши доступ до маніпулювання резервами пулу. Остаточна сума, яку отримав зловмисник, становила приблизно 422 000 доларів США.
Експлойт передбачав використання блискавичних позик і блискавичних свопів у поєднанні з повторюваними викликами функції swapHelper OCA. Це безпосередньо видаляло токени OCA з пулу ліквідності під час свопів, штучно завищуючи ціну OCA в парі та уможливлюючи злив USDC
Як відбувся експлойт OCA/USDC?
Атака була виконана через три транзакції. Перша для здійснення експлойту, а наступні дві як додаткові хабарі будівельникам.
"Загалом 43 BNB плюс 69 BNB були сплачені 48club-puissant-builder, залишивши приблизний кінцевий прибуток у 340 000 доларів США", написав Blocksec Phalcon на X про інцидент, додавши, що інша транзакція в тому ж блоці також не вдалася на позиції 52, ймовірно, тому що зловмисник її випередив.
Блискавичні позики на PancakeSwap дозволяють користувачам позичати значні суми криптовалютних активів без застави; однак позичена сума плюс комісії повинні бути повернені в межах того ж блоку транзакцій.
Вони в основному використовуються в арбітражних і ліквідаційних стратегіях на Binance Smart Chain, і позики зазвичай полегшуються функцією блискавичного свопу PancakeSwap V3.
Ще одна атака з блискавичною позикою була виявлена кілька тижнів тому
У грудні 2025 року експлойт дозволив зловмиснику зняти приблизно 138,6 WBNB з пулу ліквідності PancakeSwap для пари DMi/WBNB, отримавши приблизно 120 000 доларів США.
Ця атака продемонструвала, як комбінація блискавичних позик і маніпулювання внутрішніми резервами пари AMM через функції sync() і callback може бути використана для повного виснаження пулу.
Зловмисник спочатку створив контракт експлойту і викликав функцію f0ded652(), спеціалізовану точку входу в контракт, після чого контракт викликає flashLoan з протоколу Moolah, запитуючи приблизно 102 693 WBNB.
Після отримання блискавичної позики контракт ініціює callback onMoolahFlashLoan(…). Перше, що робить callback, це з'ясовує баланс токенів DMi в пулі PancakeSwap, щоб підготуватися до маніпулювання резервами пари.
Слід зазначити, що вразливість не в блискавичній позиці, а в контракті PancakeSwap, який дозволяє маніпулювання резервами через комбінацію блискавичного свопу і sync() без захисту від зловмисних callback.
Джерело: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
