El fondo de intercambio decakeSwap V2 OCA/USDC en BSC se quedó sin $422,000

El poolcakeSwap V2 para OCAUSDC en BSC fue explotado en una transacción sospechosa detectada hoy. El ataque resultó en la pérdida de casi $500,000 en el mercado de USDC, en una sola transacción.

Según informes de de blockchain , el atacante explotó una vulnerabilidad en la lógica deflacionaria de sellOCA(), lo que le permitió manipular las reservas del pool. Se estima que el atacante se apropió de aproximadamente 422.000 dólares.

La vulnerabilidad consistía en el uso de préstamos flash y permutas flash, combinados con llamadas repetidas a la función swapHelper de OCA. Esto extraía tokens OCA directamente del fondo de liquidez durante las permutas, inflando artificialmente el precio de OCA en el par y permitiendo la fuga de USDC.

¿Cómo ocurrió el exploit OCA/USDC?

el ataque se Según se informa, ejecutó mediante tres transacciones: la primera para ejecutar el exploit y las dos siguientes para sobornar a los constructores.

“En total, se pagaron 43 BNB más 69 BNB a 48club-puissant-builder, dejando una ganancia final estimada de $340K”, escribió Blocksec Phalcon en X sobre eldent, y agregó que otra transacción en el mismo bloque también falló en la posición 52, probablemente porque el atacante se adelantó.

Los préstamos flash en PancakeSwap permiten a los usuarios tomar prestadas cantidades significativas de criptoactivos sin garantía; sin embargo, el monto prestado más las tarifas deben reembolsarse dentro del mismo bloque de transacción.

Se utilizan principalmente en estrategias de arbitraje y liquidación en Binance Smart Chain, y los préstamos generalmente son facilitados por la función de intercambio flash decakeSwap V3.

semanas se detectó otro ataque de préstamos flash Hace

En diciembre de 2025, un exploit permitió a un atacante retirar aproximadamente 138,6 WBNB del fondo de liquidez PancakecakeDMi/WBNB par

Ese ataque demostró cómo una combinación de préstamos flash y manipulación de las reservas internas del par AMM a través de funciones sync() y callback puede usarse para agotar completamente el fondo.

El atacante primero creó eltracy llamó a la función f0ded652(), un punto de entrada especializado en el contratotracdespués de lo cual el contratotracdesde a el protocolo Moolah, solicitando aproximadamente 102,693 WBNB.

Al recibir el préstamo flash, el contratotracfunción la de devolución de llamada onMoolahFlashLoan(…). Lo primero que hace la función de devolución de llamada es averiguar el saldo del token DMi en el pool de intercambio de Pancakepara prepararse para la manipulación de la reserva del par.

Cabe señalar que la vulnerabilidad no está en el préstamo flash, sino en eltraccakeSwap, que permite la manipulación de reservas a través de una combinación de flash swap y sync() sin protección contra devoluciones de llamadas maliciosas.