Pool PancakeSwap V2 OCA/USDC su BSC prosciugato di $422K

Il pool PancakeSwap V2 per OCA/USDC su BSC è stato sfruttato in una transazione sospetta rilevata oggi. L'attacco ha provocato la perdita di quasi $500.000 di mercato USDC, prosciugato in una singola transazione.

Secondo i report delle piattaforme di sicurezza blockchain, l'attaccante ha sfruttato una vulnerabilità nella logica deflazionistica sellOCA(), ottenendo accesso per manipolare le riserve del pool. L'importo finale sottratto dall'attaccante sarebbe stato di circa $422.000.

L'exploit ha coinvolto l'uso di flash loan e flash swap combinati con chiamate ripetute alla funzione swapHelper di OCA. Questo ha rimosso i token OCA direttamente dal pool di liquidità durante gli swap, gonfiando artificialmente il prezzo on-pair di OCA e consentendo il prosciugamento di USDC

Come è avvenuto l'exploit OCA/USDC?

L'attacco sarebbe stato eseguito tramite tre transazioni. La prima per eseguire l'exploit e le due successive per servire come tangenti aggiuntive al builder.

"In totale, 43 BNB più 69 BNB sono stati pagati a 48club-puissant-builder, lasciando un profitto finale stimato di $340K," ha scritto Blocksec Phalcon su X riguardo all'incidente, aggiungendo che un'altra transazione nello stesso blocco è fallita anche alla posizione 52, probabilmente perché è stata anticipata dall'attaccante.

I flash loan su PancakeSwap consentono agli utenti di prendere in prestito quantità significative di asset crypto senza collaterale; tuttavia, l'importo preso in prestito più le commissioni deve essere rimborsato entro lo stesso blocco di transazione.

Vengono utilizzati principalmente in strategie di arbitraggio e liquidazione su Binance Smart Chain, e i prestiti sono solitamente facilitati dalla funzione flash swap di PancakeSwap V3.

Un altro attacco flash loan è stato rilevato settimane fa

Nel dicembre 2025, un exploit ha consentito a un attaccante di prelevare circa 138,6 WBNB dal pool di liquidità PancakeSwap per la coppia DMi/WBNB, ottenendo circa $120.000.

Quell'attacco ha dimostrato come una combinazione di flash loan e manipolazione delle riserve interne della coppia AMM tramite funzioni sync() e callback sia in grado di essere utilizzata per prosciugare completamente il pool.

L'attaccante ha prima creato il contratto exploit e chiamato la funzione f0ded652(), un punto di ingresso specializzato nel contratto, dopodiché il contratto chiama flashLoan dal protocollo Moolah, richiedendo circa 102.693 WBNB.

Al ricevimento del flash loan, il contratto avvia il callback onMoolahFlashLoan(…). La prima cosa che il callback fa è scoprire il saldo del token DMi nel pool PancakeSwap per prepararsi alla manipolazione delle riserve della coppia.

Va notato che la vulnerabilità non è nel flash loan, ma nel contratto PancakeSwap, che consente la manipolazione delle riserve tramite una combinazione di flash swap e sync() senza protezione contro callback dannosi.