Пул PancakeSwap V2 OCA/USDC в BSC опустошен на 422 000 $

Пул PancakeSwap V2 для OCA/USDC в BSC был взломан в подозрительной транзакции, обнаруженной сегодня. Атака привела к потере почти 500 000 $ рынка USDC, слитых в одной транзакции.

Согласно отчетам платформ безопасности блокчейна, злоумышленник использовал уязвимость в логике дефляционной криптовалюты sellOCA(), получив доступ к манипулированию резервами пула. Окончательная сумма, с которой злоумышленник скрылся, составила приблизительно 422 000 $.

Эксплойт включал использование мгновенных займов и мгновенных свопов в сочетании с повторяющимися вызовами функции swapHelper OCA. Это удалило токены OCA напрямую из пула ликвидности во время свопов, искусственно завышая цену OCA в паре и позволяя слить USDC

Как произошел эксплойт OCA/USDC?

Атака была выполнена через три транзакции. Первая для проведения эксплойта, а следующие две для дополнительных взяток сборщикам.

"В общей сложности 43 BNB плюс 69 BNB были заплачены 48club-puissant-builder, оставив приблизительную конечную прибыль в размере 340 000 $," написал Blocksec Phalcon в X об инциденте, добавив, что другая транзакция в том же блоке также не удалась на позиции 52, вероятно, потому что была опережена злоумышленником.

Мгновенные займы на PancakeSwap позволяют пользователям занимать значительные суммы криптоактивов без залога; однако заемная сумма плюс комиссии должны быть возвращены в течение того же блока транзакций.

Они в основном используются в арбитражных и ликвидационных стратегиях в Binance Smart Chain, и займы обычно облегчаются функцией мгновенного свопа PancakeSwap V3.

Еще одна атака с мгновенным займом была обнаружена несколько недель назад

В декабре 2025 года эксплойт позволил злоумышленнику вывести приблизительно 138,6 WBNB из пула ликвидности PancakeSwap для пары DMi/WBNB, получив приблизительно 120 000 $.

Эта атака продемонстрировала, как комбинация мгновенных займов и манипулирования внутренними резервами пары AMM через функции sync() и обратного вызова может быть использована для полного истощения пула.

Злоумышленник сначала создал контракт эксплойта и вызвал функцию f0ded652(), специализированную точку входа в контракт, после чего контракт вызвал flashLoan из протокола Moolah, запросив приблизительно 102 693 WBNB.

После получения мгновенного займа контракт инициирует обратный вызов onMoolahFlashLoan(…). Первое, что делает обратный вызов, это узнает баланс токена DMi в пуле PancakeSwap, чтобы подготовиться к манипулированию резервами пары.

Следует отметить, что уязвимость не в мгновенном займе, а в контракте PancakeSwap, позволяющем манипулировать резервами через комбинацию мгновенного свопа и sync() без защиты от вредоносных обратных вызовов.