BSC-তে PancakeSwap V2 OCA/USDC পুল থেকে $422K নিষ্কাশিত হয়েছে

আজ সনাক্ত করা একটি সন্দেহজনক লেনদেনে BSC-তে OCAUSDC-এর জন্য PancakeSwap V2 পুল শোষিত হয়েছে। এই আক্রমণের ফলে প্রায় $500,000 মূল্যের USDC বাজার হারিয়েছে, যা একটি একক লেনদেনে নিষ্কাশিত হয়েছে।

ব্লকচেইন নিরাপত্তা প্ল্যাটফর্মের রিপোর্ট অনুসারে, আক্রমণকারী ডিফ্লেশনারি sellOCA() লজিকের একটি দুর্বলতা শোষণ করেছে, যা তাদের পুলের রিজার্ভ ম্যানিপুলেট করার অ্যাক্সেস দিয়েছে। আক্রমণকারী শেষ পর্যন্ত যে পরিমাণ নিয়ে পালিয়েছে তা প্রায় $422,000 বলে জানা গেছে।

এই শোষণে ফ্ল্যাশ লোন এবং ফ্ল্যাশ সোয়াপের ব্যবহার জড়িত ছিল যা OCA-এর swapHelper ফাংশনে বারবার কলের সাথে মিলিত হয়েছিল। এটি সোয়াপের সময় সরাসরি লিকুইডিটি পুল থেকে OCA টোকেন সরিয়ে দিয়েছে, কৃত্রিমভাবে OCA-এর অন-পেয়ার মূল্য বাড়িয়েছে এবং USDC নিষ্কাশন সক্ষম করেছে

OCA/USDC শোষণ কীভাবে ঘটেছে?

আক্রমণটি তিনটি লেনদেনের মাধ্যমে সম্পাদিত হয়েছে বলে জানা গেছে। প্রথমটি শোষণ সম্পাদন করতে এবং পরবর্তী দুটি অতিরিক্ত বিল্ডার ঘুষ হিসেবে কাজ করতে।

"মোট, 43 BNB এবং 69 BNB প্রদান করা হয়েছে 48club-puissant-builder-কে, যার ফলে আনুমানিক চূড়ান্ত লাভ $340K রয়েছে," Blocksec Phalcon এই ঘটনা সম্পর্কে X-এ লিখেছে, যোগ করে যে একই ব্লকে আরেকটি লেনদেন 52 নম্বর পজিশনে ব্যর্থ হয়েছে, সম্ভবত কারণ এটি আক্রমণকারী দ্বারা ফ্রন্টরান করা হয়েছিল।

PancakeSwap-এ ফ্ল্যাশ লোন ব্যবহারকারীদের জামানত ছাড়াই উল্লেখযোগ্য পরিমাণ ক্রিপ্টো সম্পদ ধার নিতে দেয়; তবে, ধার করা পরিমাণ এবং ফি একই লেনদেন ব্লকের মধ্যে পরিশোধ করতে হবে।

এগুলি প্রাথমিকভাবে Binance Smart Chain-এ আরবিট্রেজ এবং লিকুইডেশন কৌশলে ব্যবহৃত হয়, এবং লোনগুলি সাধারণত PancakeSwap V3-এর ফ্ল্যাশ সোয়াপ ফাংশন দ্বারা সুবিধাজনক করা হয়।

কয়েক সপ্তাহ আগে আরেকটি ফ্ল্যাশ লোন আক্রমণ সনাক্ত করা হয়েছিল

ডিসেম্বর 2025-এ, একটি শোষণ একজন আক্রমণকারীকে DMi/WBNB পেয়ারের জন্য PancakeSwap লিকুইডিটি পুল থেকে প্রায় 138.6 WBNB উত্তোলন করতে দিয়েছে, যা প্রায় $120,000 ছিল।

সেই আক্রমণটি প্রদর্শন করেছে কীভাবে ফ্ল্যাশ লোনের সমন্বয় এবং sync() এবং কলব্যাক ফাংশনের মাধ্যমে AMM পেয়ারের অভ্যন্তরীণ রিজার্ভের ম্যানিপুলেশন পুল সম্পূর্ণভাবে নিঃশেষ করতে ব্যবহার করা সক্ষম।

আক্রমণকারী প্রথমে শোষণ কন্ট্র্যাক্ট তৈরি করেছে এবং f0ded652() ফাংশনকে কল করেছে, যা কন্ট্র্যাক্টে একটি বিশেষায়িত এন্ট্রি পয়েন্ট, যার পরে কন্ট্র্যাক্ট Moolah প্রোটোকল থেকে flashLoan কল করে, প্রায় 102,693 WBNB অনুরোধ করে।

ফ্ল্যাশ লোন পাওয়ার পরে, কন্ট্র্যাক্ট onMoolahFlashLoan(…) কলব্যাক শুরু করে। কলব্যাকের প্রথম কাজ হল পেয়ারের রিজার্ভ ম্যানিপুলেশনের জন্য প্রস্তুত করার জন্য PancakeSwap পুলে DMi টোকেন ব্যালেন্স খুঁজে বের করা।

এটি লক্ষ করা উচিত যে দুর্বলতা ফ্ল্যাশ লোনে নেই, বরং PancakeSwap কন্ট্র্যাক্টে, যা দূষিত কলব্যাকের বিরুদ্ধে সুরক্ষা ছাড়াই ফ্ল্যাশ সোয়াপ এবং sync()-এর সমন্বয়ের মাধ্যমে রিজার্ভ ম্যানিপুলেশনের অনুমতি দেয়।