cake스왑 V2 OCA/USDC 풀(BSC)에서 422,000달러가 빠져나갔습니다

오늘 BSC의 OCAUSDC용cake스왑 V2 풀에서 의심스러운 거래가 발견되어 악용 사례가 발생했습니다. 이 공격으로 인해 단 한 번의 거래로 약 50만 달러 상당의 USDC 시장 자금이 유출되는 피해가 발생했습니다.

보고서에 따르면 블록체인 , 공격자는 디플레이션 방식의 sellOCA() 로직에 있는 취약점을 악용하여 풀의 준비금을 조작할 수 있었습니다. 공격자가 최종적으로 탈취한 금액은 약 42만 2천 달러에 달하는 것으로 알려졌습니다.

이 취약점은 플래시론과 플래시스왑을 OCA의 swapHelper 함수에 반복적으로 호출하는 방식으로 활용되었습니다. 이를 통해 스왑 과정에서 OCA 토큰이 유동성 풀에서 직접 제거되어 OCA의 거래쌍 가격이 인위적으로 부풀려지고 USDC가

OCA/USDC 취약점은 어떻게 발생했습니까?

이번 공격은 보도에 따르면 세 건의 거래를 통해 실행되었습니다. 첫 번째 거래는 취약점을 악용하기 위한 것이었고, 나머지 두 건은 건설업자에게 추가적인 뇌물을 주기 위한 것이었습니다.

Blocksec Phalcon은 X에서 발생한 이dent에 대해 "총 43 BNB 와 69 BNB 48club-puissant-builder에게 지급되어 최종적으로 약 34만 달러의 수익을 올린 것으로 추정된다"고 밝혔으며, 같은 블록의 52번째 위치에서 발생한 또 다른 거래 역시 공격자가 선점했기 때문에 실패했을 가능성이 높다고 덧붙였습니다.

의 플래시론은 팬케이크cake스왑 가 담보 없이 상당한 금액의 암호화폐 자산을 빌릴 수 있도록 해줍니다. 단, 빌린 금액과 수수료는 동일한 거래 블록 내에서 상환해야 합니다.

이러한 대출은 주로 Binance 스마트 체인에서의 차익거래 및 청산 전략에 사용되며, 일반적으로cake스왑 V3의 플래시 스왑 기능을 통해 이루어집니다.

또 다른 플래시론 공격이 감지되었습니다. 전에

2025년 12월, 공격자는 취약점 이용해 인출하여BNB 에서cakeDMi/WBNB 약 12만 달러의 수익을 올렸습니다.

해당 공격은 플래시론과 sync() 및 콜백 함수를 통한 AMM 쌍의 내부 준비금 조작을 결합하여 자금 풀을 완전히 고갈시킬 수 있음을 보여주었습니다.

공격자는 먼저 익스플로잇 계약을 생성trac에 대한 특수 진입점인 f0ded652() 함수를 호출한trac다음, 계약이trac프로토콜 호출하여 에서 flashLoan을BNB.

플래시론을 받으면 계약은trac( 시작합니다 . 콜백이 가장 먼저 하는 DMi 토큰 잔액을 확인하는 것cake페어의 준비금 조작을 준비하기 위해 팬케이크 스왑 풀

여기서 주목해야 할 점은 취약점이 플래시론 자체에 있는 것이 아니라, 플래시 스왑과 sync()를 조합하여 준비금을 조작할 수 있도록 허용하는cake스왑trac에 있다는 것입니다. 악의적인 콜백에 대한 보호 장치가 없습니다.