ULTIME NOTIZIE
SELEZIONATO PER TE
SETTIMANALE
RIMANI AL TOP

Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.

Il poolcakeSwap V2 OCA/USDC su BSC è stato svuotato di $ 422.000

DiHannah CollymoreHannah Collymore
Tempo di lettura: 2 minuti.
PancakeSwap introduce Cake.Pad per supportare i nuovi elenchi di token.
  • Il pool PancakeSwap V2 OCA/USDC su BSC è stato appena prosciugato di quasi 500.000 $ in un exploit che ha sfruttato prestiti flash. 
  • I prestiti flash consentono agli utenti di prendere in prestito criptovalute senza garanzie, ma l'importo preso in prestito, più le commissioni, deve essere rimborsato entro lo stesso blocco di transazione. 
  • Un simile exploit di prestito flash su BSC ha messo fine a un tentativo di truffa da parte di un aggressore di sottrarre oltre 100.000 dollari.

Il poolcakeSwap V2 per OCAUSDC su BSC è stato sfruttato in una transazione sospetta rilevata oggi. L'attacco ha causato la perdita di quasi 500.000 dollari di mercato USDC, prosciugati in una singola transazione.

Secondo quanto riportato dalle blockchain , l'attaccante ha sfruttato una vulnerabilità nella logica deflazionistica sellOCA(), ottenendo così l'accesso per manipolare le riserve del pool. L'importo finale che l'attaccante è riuscito a sottrarre si aggirerebbe intorno ai 422.000 dollari.

L'exploit prevedeva l'utilizzo di flash loans e flash swap combinati con ripetute chiamate alla funzione swapHelper di OCA. Ciò rimuoveva i token OCA direttamente dal pool di liquidità durante gli swap, gonfiando artificialmente il prezzo on-pair di OCA e consentendo il drenaggio di USDC

Come è avvenuto l'exploit OCA/USDC?

l'attacco è Secondo quanto riferito, stato eseguito tramite tre transazioni: la prima per mettere in atto l'exploit, e le due successive per fornire ulteriori tangenti al costruttore.

"In totale, 43 BNB più 69 BNB sono stati pagati a 48club-puissant-builder, lasciando un profitto finale stimato di $ 340.000", ha scritto Blocksec Phalcon su X in meritodent, aggiungendo che un'altra transazione nello stesso blocco è fallita anche alla posizione 52, probabilmente perché è stata anticipata dall'attaccante.

I prestiti flash su PancakeSwap consentono agli utenti di prendere in prestito ingenti quantità di criptovalute senza garanzie; tuttavia, l'importo preso in prestito, più le commissioni, deve essere rimborsato entro lo stesso blocco di transazione.

Vengono utilizzati principalmente nelle strategie di arbitraggio e liquidazione sulla Binance Smart Chain e i prestiti sono solitamente facilitati dalla funzione flash swap di PancakeSwap V3.

Un altro attacco di prestito flash è stato rilevato settimane fa

Nel dicembre 2025, una vulnerabilità ha permesso a un malintenzionato di prelevare circa 138,6 WBNBBNBBNB BNBBNBcakeSwap per la coppia DMi/WBNBBNB BNBBNB , intascando circa 120.000 dollari.

Questo attacco ha dimostrato come una combinazione di prestiti flash e manipolazione delle riserve interne della coppia AMM tramite funzioni sync() e callback possa essere utilizzata per esaurire completamente il pool.

L'attaccante ha prima creato il contratto di exploittractractractractractractractractractractractractractractractractracflashLoan dal protocollo Moolah, richiedendo circa 102.693 WBNB.

Al ricevimento del prestito flash, il contrattotraccallback la onMoolahFlashLoan(…). La prima cosa che fa la callback è scoprire il saldo del token DMi nel pool PancakeSwap per prepararsi alla manipolazione della riserva della coppia.

Va notato che la vulnerabilità non è nel prestito flash, ma neltracPancakeSwap, che consente la manipolazione delle riserve tramite una combinazione di flash swap e sync() senza protezione contro callback dannosi.

Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.

Condividi questo articolo

Disclaimer. Le informazioni fornite non costituiscono consulenza finanziaria. Cryptopolitandi declina ogni responsabilità per gli investimenti effettuati sulla base delle informazioni contenute in questa pagina. Raccomandiamotrondentdentdentdentdentdentdentdent e/o di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.

ALTRE NOTIZIE
INTENSIVO CRIPTOVALUTE
CORSO