DercakeSwap V2 OCA/USDC-Pool auf BSC wurde um 422.000 $ aufgelöst

DercakeSwap V2-Pool für OCAUSDC auf BSC wurde heute in einer verdächtigen Transaktion ausgenutzt. Der Angriff führte zu einem Verlust von fast 500.000 US-Dollar USDC-Marktkapital, das in einer einzigen Transaktion abgezogen wurde.

Laut Berichten von Blockchain- Sicherheitsplattformen nutzte der Angreifer eine Schwachstelle in der deflationären sellOCA()-Logik aus und erlangte dadurch Zugriff auf die Reserven des Pools. Der erbeutete Betrag belief sich Berichten zufolge auf rund 422.000 US-Dollar.

Der Exploit nutzte Flash-Kredite und Flash-Swaps in Kombination mit wiederholten Aufrufen der swapHelper-Funktion von OCA. Dadurch wurden OCA-Token während der Swaps direkt aus dem Liquiditätspool entfernt, was den On-Pair-Preis von OCA künstlich in die Höhe trieb und den Abfluss von USDC

Wie kam es zum OCA/USDC-Exploit?

Der Angriff wurde Berichten zufolge über drei Transaktionen durchgeführt. Die erste diente der Ausnutzung der Sicherheitslücke, die beiden folgenden als zusätzliche Bestechungsgelder an die Bauarbeiter.

„Insgesamt wurden 43 BNB plus 69 BNB an 48club-puissant-builder gezahlt, was einen geschätzten Endgewinn von 340.000 US-Dollar ergibt“, schrieb Blocksec Phalcon auf X über dendentund fügte hinzu, dass eine weitere Transaktion im selben Block an Position 52 ebenfalls fehlschlug, wahrscheinlich weil sie vom Angreifer vorab abgefangen wurde.

Flash-Kredite auf PancakecakeSwap erhebliche Mengen an Krypto-Assets ohne Sicherheiten zu leihen; allerdings muss der geliehene Betrag zuzüglich Gebühren innerhalb desselben Transaktionsblocks zurückgezahlt werden.

Sie werden vorwiegend für Arbitrage- und Liquidationsstrategien auf der Binance Smart Chain eingesetzt, und die Kredite werden üblicherweise über die Flash-Swap-Funktion voncakeSwap V3 abgewickelt.

einigen Wochen wurde ein weiterer Flash-Loan-Angriff entdeckt. Vor

Im Dezember 2025 ermöglichte abzuhebenBNB aus dem PancakecakeSwap-Liquiditätspool für das Währungspaar DMi/WBNB und damit einen Gewinn von etwa 120.000 US-Dollar zu erzielen.

Dieser Angriff demonstrierte, wie eine Kombination aus Flash-Krediten und der Manipulation der internen Reserven des AMM-Paares mittels sync() und Callback-Funktionen dazu genutzt werden kann, den Pool vollständig zu leeren.

Der Angreifer erstellte zunächst den Exploit-Vertragtracrief die Funktion f0ded652() auf, einen speziellen Einstiegspunkt in den Vertragtracder VertragtracAnschließend ruft aus dem Moolah-Protokoll auf und fordert ungefähr 102.693 WBNB.

Nach Erhalt des Flash-KreditstracCallback initiiert zunächst ermittelt den DMi-Token-Saldo im PancakecakeSwap-Pool, um die Reservemanipulation des Paares vorzubereiten.

Es ist zu beachten, dass die Schwachstelle nicht im Flash Loan, sondern imcakeSwap-tracliegt, wodurch eine Manipulation der Reserven durch eine Kombination aus Flash Swap und sync() ohne Schutz vor bösartigen Rückrufen möglich ist.