Ang PancakeSwap V2 pool para sa OCAUSDC sa BSC ay na-exploit sa isang kahina-hinalang transaksyon na natuklasan ngayong araw. Ang pag-atake ay nagresulta sa pagkawala ng halos $500,000 halaga ng USDC market, naubos sa isang transaksyon lamang.
Ayon sa mga ulat mula sa mga platform ng seguridad ng Blockchain, ang attacker ay nag-exploit ng isang kahinaan sa deflationary sellOCA() logic, na nagbigay-daan sa kanila upang manipulahin ang reserves ng pool. Ang huling halagang nakuha ng attacker ay tinatayang humigit-kumulang $422,000.
Ang exploit ay kinabibilangan ng paggamit ng flash loans at flash swaps na pinagsama sa paulit-ulit na pagtawag sa swapHelper function ng OCA. Dahil dito, direktang inalis ang mga OCA token mula sa liquidity pool habang nagsasagawa ng swaps, kaya't artipisyal na pinapalaki ang presyo ng OCA sa pares at nagbigay-daan upang maubos ang USDC.
Paano nangyari ang OCA/USDC exploit?
Ayon sa ulat, isinagawa ang pag-atake sa pamamagitan ng tatlong transaksyon. Ang una ay para isagawa ang exploit, at ang sumunod na dalawa ay nagsilbing karagdagang builder bribes.
"Sa kabuuan, 43 BNB plus 69 BNB ang ibinayad sa 48club-puissant-builder, na nag-iwan ng tinatayang huling kita na $340K," isinulat ng Blocksec Phalcon sa X tungkol sa insidente, at binanggit na ang isa pang transaksyon sa parehong block ay nabigo rin sa posisyon 52, malamang na naunahan ito ng attacker.
Ang flash loans sa PancakeSwap ay nagbibigay-daan sa mga user na manghiram ng malaking halaga ng crypto assets nang walang collateral; gayunpaman, ang hiniram na halaga at bayarin ay kailangang mabayaran sa loob ng parehong transaction block.
Kadalasan itong ginagamit sa arbitrage at liquidation strategies sa Binance Smart Chain, at ang mga loan ay karaniwang pinapadali ng flash swap function ng PancakeSwap V3.
Isa pang flash loan attack ang natuklasan ilang linggo na ang nakalipas
Noong Disyembre 2025, isang exploit ang nagbigay-daan sa attacker na mag-withdraw ng humigit-kumulang 138.6 WBNB mula sa PancakeSwap liquidity pool para sa DMi/WBNB pair, na kumita ng tinatayang $120,000.
Ipinakita ng pag-atakeng iyon kung paano ang kumbinasyon ng flash loans at manipulasyon ng internal reserves ng AMM pair sa pamamagitan ng sync() at callback functions ay nagagamit upang tuluyang maubos ang pool.
Unang nilikha ng attacker ang exploit contract at tinawag ang f0ded652() function, isang espesyal na entry point sa contract, pagkatapos nito ay tinawag ng contract ang flashLoan mula sa Moolah protocol, humihingi ng humigit-kumulang 102,693 WBNB.
Pagkatanggap ng flash loan, sinimulan ng contract ang onMoolahFlashLoan(…) callback. Ang unang ginagawa ng callback ay alamin ang DMi token balance sa PancakeSwap pool upang maghanda para sa manipulasyon ng reserve ng pair.
Dapat tandaan na ang kahinaan ay wala sa flash loan, kundi nasa PancakeSwap contract, na nagpapahintulot ng manipulasyon ng reserves sa pamamagitan ng kumbinasyon ng flash swap at sync() nang walang proteksyon laban sa malisyosong callbacks.
