O pool PancakeSwap V2 para OCA/USDC na BSC foi explorado em uma transação suspeita. O ataque resultou na perda de quase $500,000 em valor de mercado de USDC, drenados em uma única transação.
De acordo com relatos de plataformas de segurança em Blockchain, o atacante explorou uma vulnerabilidade na lógica deflacionária do sellOCA(), dando-lhe acesso para manipular as reservas do pool. O valor final que o atacante conseguiu foi supostamente de aproximadamente $422,000.
A exploração envolveu o uso de empréstimos relâmpago e trocas relâmpago combinados com chamadas repetidas à função swapHelper do OCA. Isso removeu tokens OCA diretamente do pool de liquidez durante as trocas, inflacionando artificialmente o preço em par do OCA e permitindo o esvaziamento do USDC.
Hackers drenam PancakeSwap V2 OCA/USDC
O ataque foi supostamente executado via três transações. A primeira para realizar a exploração, e as duas seguintes para servir como subornos adicionais de construtores. “No total, 43 BNB mais 69 BNB foram pagos para 48club-puissant-builder, deixando um lucro final estimado de $340K”, escreveu Blocksec Phalcon no X sobre o incidente, acrescentando que outra transação no mesmo bloco também falhou na posição 52, provavelmente porque foi antecipada pelo atacante.
Flash loans no PancakeSwap permitem que os usuários emprestem quantidades significativas de ativos cripto sem colateral; no entanto, o montante emprestado mais as taxas devem ser pagos dentro do mesmo bloco de transação. Eles são usados principalmente em estratégias de arbitragem e liquidação na Binance Smart Chain, e os empréstimos são geralmente facilitados pela função de flash swap do PancakeSwap V3.
Em dezembro de 2025, uma exploração permitiu que um atacante retirasse aproximadamente 138,6 WBNB do pool de liquidez PancakeSwap para o par DMi/WBNB, resultando em aproximadamente $120.000. Esse ataque demonstrou como uma combinação de flash loans e manipulação das reservas internas do par AMM via sync() e funções de callback pode ser usada para esvaziar completamente o pool.
O atacante primeiro criou o contrato de exploração e chamou a função f0ded652(), um ponto de entrada especializado no contrato, após o qual o contrato chama flashLoan do protocolo Moolah, solicitando aproximadamente 102.693 WBNB. Ao receber o flash loan, o contrato inicia o callback onMoolahFlashLoan(…).
A primeira coisa que o callback faz é descobrir o saldo do token DMi no pool PancakeSwap para se preparar para a manipulação da reserva do par. Deve-se notar que a vulnerabilidade não está no flash loan, mas no contrato PancakeSwap, permitindo a manipulação das reservas via uma combinação de flash swap e sync() sem proteção contra callbacks maliciosos.
A postagem PancakeSwap V2 OCA/USDC pool no BSC hackeada por $422k apareceu primeiro no Coinfea.