O pool PancakeSwap V2 para OCA/USDC na BSC foi explorado numa transação suspeita detetada hoje. O ataque resultou na perda de quase $500.000 em USDC, drenados numa única transação.
De acordo com relatórios de plataformas de segurança Blockchain, o atacante explorou uma vulnerabilidade na lógica deflacionária sellOCA(), permitindo-lhes manipular as reservas do pool. O valor final que o atacante conseguiu roubar foi de aproximadamente $422.000.
A exploração envolveu o uso de empréstimos flash e swaps flash combinados com chamadas repetidas à função swapHelper da OCA. Isto removeu tokens OCA diretamente do pool de liquidez durante os swaps, inflacionando artificialmente o preço do par OCA e permitindo a drenagem de USDC
Como ocorreu a exploração OCA/USDC?
O ataque foi alegadamente executado através de três transações. A primeira para realizar a exploração, e as duas seguintes para servir como subornos adicionais ao construtor.
"No total, 43 BNB mais 69 BNB foram pagos ao 48club-puissant-builder, deixando um lucro final estimado de $340.000," escreveu o Blocksec Phalcon no X sobre o incidente, acrescentando que outra transação no mesmo bloco também falhou na posição 52, provavelmente porque foi antecipada pelo atacante.
Os empréstimos flash no PancakeSwap permitem aos utilizadores pedir emprestadas quantidades significativas de criptoativos sem garantia; no entanto, o montante emprestado mais as taxas devem ser reembolsados dentro do mesmo bloco de transação.
São utilizados principalmente em estratégias de arbitragem e liquidação na Binance Smart Chain, e os empréstimos são normalmente facilitados pela função de swap flash do PancakeSwap V3.
Outro ataque de empréstimo flash foi detetado há semanas atrás
Em dezembro de 2025, uma exploração permitiu a um atacante retirar aproximadamente 138,6 WBNB do pool de liquidez PancakeSwap para o par DMi/WBNB, obtendo aproximadamente $120.000.
Esse ataque demonstrou como uma combinação de empréstimos flash e manipulação das reservas internas do par AMM através das funções sync() e callback pode ser usada para esgotar completamente o pool.
O atacante primeiro criou o contrato de exploração e chamou a função f0ded652(), um ponto de entrada especializado no contrato, após o qual o contrato chama flashLoan do protocolo Moolah, solicitando aproximadamente 102.693 WBNB.
Ao receber o empréstimo flash, o contrato inicia o callback onMoolahFlashLoan(…). A primeira coisa que o callback faz é descobrir o saldo de tokens DMi no pool PancakeSwap para preparar a manipulação da reserva do par.
Deve notar-se que a vulnerabilidade não está no empréstimo flash, mas no contrato PancakeSwap, permitindo a manipulação de reservas através de uma combinação de swap flash e sync() sem proteção contra callbacks maliciosos.
Fonte: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
