Пул PancakeSwap V2 OCA/USDC на BSC втратив $422K

Пул PancakeSwap V2 для OCA/USDC на BSC був зламаний у підозрілій транзакції, виявленій сьогодні. Атака призвела до втрати майже 500 000 доларів США на ринку USDC, злитих в одній транзакції.

Згідно з повідомленнями платформ безпеки блокчейну, зловмисник використав вразливість у дефляційній логіці sellOCA(), отримавши доступ до маніпулювання резервами пулу. Остаточна сума, яку отримав зловмисник, становила приблизно 422 000 доларів США.

Експлойт передбачав використання блискавичних позик і блискавичних свопів у поєднанні з повторюваними викликами функції swapHelper OCA. Це безпосередньо видаляло токени OCA з пулу ліквідності під час свопів, штучно завищуючи ціну OCA в парі та уможливлюючи злив USDC

Як відбувся експлойт OCA/USDC?

Атака була виконана через три транзакції. Перша для здійснення експлойту, а наступні дві як додаткові хабарі будівельникам.

"Загалом 43 BNB плюс 69 BNB були сплачені 48club-puissant-builder, залишивши приблизний кінцевий прибуток у 340 000 доларів США", написав Blocksec Phalcon на X про інцидент, додавши, що інша транзакція в тому ж блоці також не вдалася на позиції 52, ймовірно, тому що зловмисник її випередив.

Блискавичні позики на PancakeSwap дозволяють користувачам позичати значні суми криптовалютних активів без застави; однак позичена сума плюс комісії повинні бути повернені в межах того ж блоку транзакцій.

Вони в основному використовуються в арбітражних і ліквідаційних стратегіях на Binance Smart Chain, і позики зазвичай полегшуються функцією блискавичного свопу PancakeSwap V3.

Ще одна атака з блискавичною позикою була виявлена кілька тижнів тому

У грудні 2025 року експлойт дозволив зловмиснику зняти приблизно 138,6 WBNB з пулу ліквідності PancakeSwap для пари DMi/WBNB, отримавши приблизно 120 000 доларів США.

Ця атака продемонструвала, як комбінація блискавичних позик і маніпулювання внутрішніми резервами пари AMM через функції sync() і callback може бути використана для повного виснаження пулу.

Зловмисник спочатку створив контракт експлойту і викликав функцію f0ded652(), спеціалізовану точку входу в контракт, після чого контракт викликає flashLoan з протоколу Moolah, запитуючи приблизно 102 693 WBNB.

Після отримання блискавичної позики контракт ініціює callback onMoolahFlashLoan(…). Перше, що робить callback, це з'ясовує баланс токенів DMi в пулі PancakeSwap, щоб підготуватися до маніпулювання резервами пари.

Слід зазначити, що вразливість не в блискавичній позиці, а в контракті PancakeSwap, який дозволяє маніпулювання резервами через комбінацію блискавичного свопу і sync() без захисту від зловмисних callback.