Il poolcakeSwap V2 OCA/USDC su BSC è stato svuotato di $ 422.000

Il poolcakeSwap V2 per OCAUSDC su BSC è stato sfruttato in una transazione sospetta rilevata oggi. L'attacco ha causato la perdita di quasi 500.000 dollari di mercato USDC, prosciugati in una singola transazione.

Secondo quanto riportato dalle blockchain , l'attaccante ha sfruttato una vulnerabilità nella logica deflazionistica sellOCA(), ottenendo così l'accesso per manipolare le riserve del pool. L'importo finale che l'attaccante è riuscito a sottrarre si aggirerebbe intorno ai 422.000 dollari.

L'exploit prevedeva l'utilizzo di flash loans e flash swap combinati con ripetute chiamate alla funzione swapHelper di OCA. Ciò rimuoveva i token OCA direttamente dal pool di liquidità durante gli swap, gonfiando artificialmente il prezzo on-pair di OCA e consentendo il drenaggio di USDC

Come è avvenuto l'exploit OCA/USDC?

l'attacco è Secondo quanto riferito, stato eseguito tramite tre transazioni: la prima per mettere in atto l'exploit, e le due successive per fornire ulteriori tangenti al costruttore.

"In totale, 43 BNB più 69 BNB sono stati pagati a 48club-puissant-builder, lasciando un profitto finale stimato di $ 340.000", ha scritto Blocksec Phalcon su X in meritodent, aggiungendo che un'altra transazione nello stesso blocco è fallita anche alla posizione 52, probabilmente perché è stata anticipata dall'attaccante.

I prestiti flash su PancakeSwap consentono agli utenti di prendere in prestito ingenti quantità di criptovalute senza garanzie; tuttavia, l'importo preso in prestito, più le commissioni, deve essere rimborsato entro lo stesso blocco di transazione.

Vengono utilizzati principalmente nelle strategie di arbitraggio e liquidazione sulla Binance Smart Chain e i prestiti sono solitamente facilitati dalla funzione flash swap di PancakeSwap V3.

Un altro attacco di prestito flash è stato rilevato settimane fa

Nel dicembre 2025, una vulnerabilità ha permesso a un malintenzionato di prelevare circa 138,6 WBNBBNBBNB BNBBNBcakeSwap per la coppia DMi/WBNBBNB BNBBNB , intascando circa 120.000 dollari.

Questo attacco ha dimostrato come una combinazione di prestiti flash e manipolazione delle riserve interne della coppia AMM tramite funzioni sync() e callback possa essere utilizzata per esaurire completamente il pool.

L'attaccante ha prima creato il contratto di exploittractractractractractractractractractractractractractractractractracflashLoan dal protocollo Moolah, richiedendo circa 102.693 WBNB.

Al ricevimento del prestito flash, il contrattotraccallback la onMoolahFlashLoan(…). La prima cosa che fa la callback è scoprire il saldo del token DMi nel pool PancakeSwap per prepararsi alla manipolazione della riserva della coppia.

Va notato che la vulnerabilità non è nel prestito flash, ma neltracPancakeSwap, che consente la manipolazione delle riserve tramite una combinazione di flash swap e sync() senza protezione contro callback dannosi.