Pool PancakeSwap V2 OCA/USDC trên BSC bị rút cạn $422K

Pool PancakeSwap V2 cho cặp OCA/USDC trên BSC đã bị khai thác trong một giao dịch đáng ngờ được phát hiện hôm nay. Cuộc tấn công dẫn đến mất gần 500,000 USD giá trị thị trường USDC, bị rút cạn trong một giao dịch duy nhất.

Theo báo cáo từ các nền tảng bảo mật Blockchain, kẻ tấn công đã khai thác lỗ hổng trong logic sellOCA() giảm phát, cho phép chúng thao túng dự trữ của pool. Số tiền cuối cùng mà kẻ tấn công chiếm được được báo cáo là khoảng 422,000 USD.

Việc khai thác liên quan đến việc sử dụng các khoản vay flash và swap flash kết hợp với các lệnh gọi lặp lại đến hàm swapHelper của OCA. Điều này đã loại bỏ token OCA trực tiếp khỏi pool thanh khoản trong quá trình swap, làm tăng giá trị nhân tạo của OCA trong cặp và cho phép rút cạn USDC

Cuộc khai thác OCA/USDC đã xảy ra như thế nào?

Cuộc tấn công được báo cáo là được thực hiện qua ba giao dịch. Giao dịch đầu tiên để thực hiện khai thác, và hai giao dịch tiếp theo để phục vụ như các khoản hối lộ bổ sung cho builder.

"Tổng cộng, 43 BNB cộng với 69 BNB đã được trả cho 48club-puissant-builder, để lại lợi nhuận cuối cùng ước tính là 340,000 USD," Blocksec Phalcon viết trên X về sự cố này, đồng thời cho biết thêm rằng một giao dịch khác trong cùng block cũng thất bại ở vị trí 52, có khả năng vì nó đã bị kẻ tấn công chạy trước.

Các khoản vay flash trên PancakeSwap cho phép người dùng vay số lượng lớn tài sản tiền mã hóa mà không cần tài sản thế chấp; tuy nhiên, số tiền vay cộng với phí phải được hoàn trả trong cùng một block giao dịch.

Chúng chủ yếu được sử dụng trong các chiến lược arbitrage và thanh lý trên Binance Smart Chain, và các khoản vay thường được hỗ trợ bởi chức năng swap flash của PancakeSwap V3.

Một cuộc tấn công vay flash khác đã được phát hiện vài tuần trước

Vào tháng 12 năm 2025, một cuộc khai thác đã cho phép kẻ tấn công rút khoảng 138.6 WBNB từ pool thanh khoản PancakeSwap cho cặp DMi/WBNB, thu được khoảng 120,000 USD.

Cuộc tấn công đó đã chứng minh cách kết hợp vay flash và thao túng dự trữ nội bộ của cặp AMM thông qua các hàm sync() và callback có thể được sử dụng để làm cạn kiệt hoàn toàn pool.

Kẻ tấn công đầu tiên đã tạo hợp đồng khai thác và gọi hàm f0ded652(), một điểm vào chuyên biệt vào hợp đồng, sau đó hợp đồng gọi flashLoan từ giao thức Moolah, yêu cầu khoảng 102,693 WBNB.

Khi nhận được khoản vay flash, hợp đồng khởi tạo callback onMoolahFlashLoan(…). Điều đầu tiên mà callback làm là tìm hiểu số dư token DMi trong pool PancakeSwap để chuẩn bị cho việc thao túng dự trữ của cặp.

Cần lưu ý rằng lỗ hổng không nằm ở khoản vay flash, mà nằm ở hợp đồng PancakeSwap, cho phép thao túng dự trữ thông qua sự kết hợp của swap flash và sync() mà không có biện pháp bảo vệ chống lại các callback độc hại.