Bể PancakeSwap V2 dành cho OCAUSDC trên BSC đã bị khai thác trong một giao dịch đáng ngờ được phát hiện hôm nay. Cuộc tấn công đã dẫn đến việc mất gần 500.000 đô la Mỹ USDC, bị rút sạch chỉ trong một giao dịch duy nhất.
Theo các báo cáo từ các nền tảng bảo mật Blockchain, kẻ tấn công đã lợi dụng một lỗ hổng trong logic deflationary sellOCA(), cho phép họ thao túng dự trữ của bể. Số tiền cuối cùng mà kẻ tấn công lấy đi được báo cáo là khoảng 422.000 đô la Mỹ.
Cuộc khai thác này liên quan đến việc sử dụng flash loan và flash swap kết hợp với các lần gọi lặp lại hàm swapHelper của OCA. Điều này đã loại bỏ trực tiếp token OCA ra khỏi bể thanh khoản trong quá trình hoán đổi, làm tăng giả tạo giá OCA so với cặp trên thị trường và cho phép rút USDC.
Làm thế nào cuộc tấn công OCA/USDC đã xảy ra?
Cuộc tấn công được báo cáo đã được thực hiện qua ba giao dịch. Giao dịch đầu tiên thực hiện vụ khai thác, hai giao dịch tiếp theo đóng vai trò là phần thưởng thêm cho builder.
“Tổng cộng, 43 BNB cộng với 69 BNB đã được trả cho 48club-puissant-builder, để lại lợi nhuận cuối cùng ước tính là 340.000 đô la Mỹ,” Blocksec Phalcon viết trên X về vụ việc, đồng thời cho biết thêm rằng một giao dịch khác trong cùng khối cũng thất bại ở vị trí 52, có thể là do bị frontrun bởi kẻ tấn công.
Flash loan trên PancakeSwap cho phép người dùng vay một lượng lớn tài sản mã hóa mà không cần thế chấp; tuy nhiên, số tiền vay cộng với phí phải được hoàn trả trong cùng một khối giao dịch.
Chúng chủ yếu được sử dụng trong các chiến lược arbitrage và thanh lý trên Binance Smart Chain, và các khoản vay này thường được thực hiện thông qua chức năng flash swap của PancakeSwap V3.
Một cuộc tấn công flash loan khác đã được phát hiện vài tuần trước
Vào tháng 12 năm 2025, một lỗ hổng đã cho phép kẻ tấn công rút khoảng 138,6 WBNB khỏi bể thanh khoản PancakeSwap cho cặp DMi/WBNB, thu về khoảng 120.000 đô la Mỹ.
Cuộc tấn công đó đã chứng minh cách kết hợp giữa flash loan và thao túng dự trữ nội bộ của cặp AMM thông qua các hàm sync() và callback có thể được sử dụng để rút cạn hoàn toàn bể.
Kẻ tấn công trước tiên đã tạo hợp đồng khai thác và gọi hàm f0ded652(), một điểm truy cập chuyên biệt vào hợp đồng, sau đó hợp đồng này gọi flashLoan từ giao thức Moolah, yêu cầu khoảng 102.693 WBNB.
Sau khi nhận được flash loan, hợp đồng khởi động callback onMoolahFlashLoan(…). Điều đầu tiên mà callback này thực hiện là kiểm tra số dư token DMi trong bể PancakeSwap để chuẩn bị cho việc thao túng dự trữ của cặp.
Cần lưu ý rằng lỗ hổng không nằm ở flash loan, mà ở hợp đồng PancakeSwap, cho phép thao túng dự trữ thông qua kết hợp giữa flash swap và sync() mà không có cơ chế bảo vệ trước các callback độc hại.
