Il pool PancakeSwap V2 per OCAUSDC su BSC è stato sfruttato in una transazione sospetta rilevata oggi. L'attacco ha causato la perdita di quasi 500.000 dollari di mercato USDC, prosciugati in una singola transazione.
Secondo quanto riportato dalle piattaforme di sicurezza blockchain , l'aggressore ha sfruttato una vulnerabilità nella logica deflazionistica sellOCA(), ottenendo l'accesso per manipolare le riserve del pool. L'importo finale sottratto all'aggressore sarebbe stato di circa 422.000 dollari.
L'exploit prevedeva l'utilizzo di prestiti e swap flash combinati con ripetute chiamate alla funzione swapHelper di OCA. Ciò rimuoveva i token OCA direttamente dal pool di liquidità durante gli swap, gonfiando artificialmente il prezzo di coppia di OCA e consentendo il drenaggio di USDC.
Come è avvenuto l'exploit OCA/USDC?
Secondo quanto riferito, l'attacco è stato eseguito tramite tre transazioni: la prima per mettere in atto l'exploit, e le due successive per fornire ulteriori tangenti al costruttore.
"In totale, 43 BNB più 69 BNB sono stati pagati a 48club-puissant-builder, lasciando un profitto finale stimato di $ 340.000", ha scritto Blocksec Phalcon su X in merito all'incidente, aggiungendo che un'altra transazione nello stesso blocco è fallita alla posizione 52, probabilmente perché era stata anticipata dall'attaccante.
I prestiti flash su PancakeSwap consentono agli utenti di prendere in prestito ingenti quantità di criptovalute senza garanzie; tuttavia, l'importo preso in prestito, più le commissioni, deve essere rimborsato entro lo stesso blocco di transazione.
Vengono utilizzati principalmente nelle strategie di arbitraggio e liquidazione sulla Binance Smart Chain e i prestiti sono solitamente facilitati dalla funzione flash swap di PancakeSwap V3.
Un altro attacco di prestito flash è stato rilevato settimane fa
Nel dicembre 2025, un exploit ha consentito a un aggressore di prelevare circa 138,6 WBNB dal pool di liquidità PancakeSwap per la coppia DMi/WBNB, ricavando circa 120.000 $.
Questo attacco ha dimostrato come una combinazione di prestiti flash e manipolazione delle riserve interne della coppia AMM tramite funzioni sync() e callback possa essere utilizzata per esaurire completamente il pool.
L'aggressore ha prima creato il contratto di exploit e ha chiamato la funzione f0ded652(), un punto di ingresso specializzato nel contratto, dopodiché il contratto ha chiamato flashLoan dal protocollo Moolah, richiedendo circa 102.693 WBNB.
Dopo aver ricevuto il prestito flash, il contratto avvia il callback onMoolahFlashLoan(…). La prima cosa che fa il callback è scoprire il saldo del token DMi nel pool PancakeSwap per preparare la manipolazione delle riserve della coppia.
È opportuno notare che la vulnerabilità non risiede nel prestito flash, bensì nel contratto PancakeSwap, che consente la manipolazione delle riserve tramite una combinazione di flash swap e sync() senza protezione contro callback dannosi.
Ottieni l'8% di CASHBACK spendendo criptovalute con la carta Visa COCA. Ordina la tua carta GRATUITA.