cakeSwap V2 OCA/USDC 池在 BSC 上耗尽了 42.2 万美元。

今天检测到一笔可疑交易，BSC 上的 OCAUSDCcakeSwap V2 池遭到攻击。此次攻击导致价值近 50 万美元的 USDC 被一次性盗走。.

据 区块链 安全平台报告，攻击者利用了通缩函数 sellOCA() 逻辑中的一个漏洞，从而得以操纵资金池的储备金。据报道，攻击者最终窃取的金额约为 42.2 万美元。

该漏洞利用了闪电贷和闪电互换，并反复调用OCA的swapHelper函数。这使得OCA代币在互换过程中直接从流动性池中移除，人为地抬高了OCA的交易对价格，从而导致 USDC

OCA/USDC漏洞是如何发生的？

此次攻击是 据报道， 通过三笔交易执行的。第一笔交易用于实施漏洞利用，接下来的两笔交易则作为额外的贿赂手段。

Blocksec Phalcon 在 X 上写道：“总共向 48club-puissant-builder 支付了 43 BNB 和 69 BNB ，估计最终dent为 34 万美元。”他还补充说，同一区块中的另一笔交易在第 52 位也失败了，可能是因为被攻击者抢先执行了。.

上的闪电贷 PancakecakeSwap 下借入大量加密资产；但是，借款金额加上费用必须在同一交易区块内偿还。

它们主要用于 Binance 智能链上的套利和清算策略，贷款通常由cakeSwap V3 的闪电兑换功能促成。.

又检测到一起闪电贷攻击 几周前

2025 年 12 月，一个漏洞 允许 提取约 138.6 个 WBNB 从 Pancakecake流动性池中 DMi/WBNB ，净赚约 12 万美元。

该攻击表明，通过闪电贷和通过 sync() 和回调函数操纵 AMM 对的内部储备，可以完全耗尽资金池。.

攻击者首先创建了漏洞利用合约trac并调用了 f0ded652() 函数（合约的一个专门入口点）trac之后该合约tracMoolah 调用 协议BNB。

收到闪电贷后，合约trac会 触发 函数。该回调函数首先 会 的 DMi 代币余额，cake以便为交易对的储备金操作做好准备。

需要注意的是，漏洞不在于闪电贷，而在于cakeSwaptrac，允许通过闪电交换和 sync() 的组合来操纵储备金，而没有针对恶意回调的保护。.