Pool PancakeSwap V2 OCA/USDC di BSC dikuras sebesar $422K

Pool PancakeSwap V2 untuk OCAUSDC di BSC dieksploitasi dalam transaksi mencurigakan yang terdeteksi hari ini. Serangan tersebut mengakibatkan kerugian hampir $500,000 dalam pasar USDC, yang dikuras dalam satu transaksi.

Menurut laporan dari platform keamanan Blockchain, penyerang mengeksploitasi kerentanan dalam logika deflasioner sellOCA(), memberikan mereka akses untuk memanipulasi cadangan pool. Jumlah akhir yang berhasil diambil penyerang dilaporkan sekitar $422,000.

Eksploitasi tersebut melibatkan penggunaan flash loan dan flash swap yang dikombinasikan dengan panggilan berulang ke fungsi swapHelper OCA. Ini menghapus token OCA secara langsung dari pool likuiditas selama swap, secara artifisial menaikkan harga on-pair OCA dan memungkinkan pengurasan USDC

Bagaimana eksploitasi OCA/USDC terjadi?

Serangan tersebut dilaporkan dieksekusi melalui tiga transaksi. Yang pertama untuk melaksanakan eksploitasi, dan dua berikutnya untuk berfungsi sebagai suap builder tambahan.

"Secara total, 43 BNB plus 69 BNB dibayarkan kepada 48club-puissant-builder, menyisakan estimasi keuntungan akhir sebesar $340K," tulis Blocksec Phalcon di X tentang insiden tersebut, menambahkan bahwa transaksi lain dalam blok yang sama juga gagal di posisi 52, kemungkinan karena di-frontrun oleh penyerang.

Flash loan di PancakeSwap memungkinkan pengguna untuk meminjam jumlah aset kripto yang signifikan tanpa jaminan; namun, jumlah pinjaman ditambah biaya harus dibayar kembali dalam blok transaksi yang sama.

Flash loan terutama digunakan dalam strategi arbitrase dan likuidasi di Binance Smart Chain, dan pinjaman biasanya difasilitasi oleh fungsi flash swap PancakeSwap V3.

Serangan flash loan lainnya terdeteksi beberapa minggu lalu

Pada Desember 2025, sebuah eksploitasi memungkinkan penyerang untuk menarik sekitar 138,6 WBNB dari pool likuiditas PancakeSwap untuk pasangan DMi/WBNB, menghasilkan sekitar $120,000.

Serangan tersebut menunjukkan bagaimana kombinasi flash loan dan manipulasi cadangan internal pasangan AMM melalui fungsi sync() dan callback dapat digunakan untuk menguras pool sepenuhnya.

Penyerang pertama-tama membuat kontrak eksploitasi dan memanggil fungsi f0ded652(), titik masuk khusus ke dalam kontrak, setelah itu kontrak kemudian memanggil flashLoan dari protokol Moolah, meminta sekitar 102,693 WBNB.

Setelah menerima flash loan, kontrak memulai callback onMoolahFlashLoan(…). Hal pertama yang dilakukan callback adalah mengetahui saldo token DMi di pool PancakeSwap untuk mempersiapkan manipulasi cadangan pasangan.

Perlu dicatat bahwa kerentanan bukan pada flash loan, tetapi pada kontrak PancakeSwap, yang memungkinkan manipulasi cadangan melalui kombinasi flash swap dan sync() tanpa perlindungan terhadap callback berbahaya.