DercakeSwap V2 OCA/USDC-Pool auf BSC wurde um 422.000 $ aufgelöst

DercakeSwap V2-Pool für OCAUSDC auf BSC wurde heute in einer verdächtigen Transaktion ausgenutzt. Der Angriff führte zu einem Verlust von fast 500.000 US-Dollar USDC-Marktkapital, das in einer einzigen Transaktion abgezogen wurde.

Laut Berichten von Blockchain- Sicherheitsplattformen nutzte der Angreifer eine Schwachstelle in der deflationären sellOCA()-Logik aus und erlangte dadurch Zugriff auf die Reserven des Pools. Der erbeutete Betrag belief sich Berichten zufolge auf rund 422.000 US-Dollar.

Der Exploit nutzte Flash-Kredite und Flash-Swaps in Kombination mit wiederholten Aufrufen der swapHelper-Funktion von OCA. Dadurch wurden OCA-Token während der Swaps direkt aus dem Liquiditätspool entfernt, was den On-Pair-Preis von OCA künstlich in die Höhe trieb und den Abfluss von USDC

Wie kam es zum OCA/USDC-Exploit?

Der Angriff wurde Berichten zufolge über drei Transaktionen durchgeführt. Die erste diente der Ausnutzung der Sicherheitslücke, die beiden folgenden als zusätzliche Bestechungsgelder an die Bauarbeiter.

„Insgesamt wurden 43 BNB plus 69 BNB an 48club-puissant-builder gezahlt, was einen geschätzten Endgewinn von 340.000 US-Dollar ergibt“, schrieb Blocksec Phalcon auf X über dendentund fügte hinzu, dass eine weitere Transaktion im selben Block an Position 52 ebenfalls fehlschlug, wahrscheinlich weil sie vom Angreifer vorab abgefangen wurde.

Flash-Kredite auf Pancake Swap cake erhebliche Mengen an Krypto-Assets ohne Sicherheiten zu leihen; allerdings muss der geliehene Betrag zuzüglich Gebühren innerhalb desselben Transaktionsblocks zurückgezahlt werden.

Sie werden vorwiegend für Arbitrage- und Liquidationsstrategien auf der Binance Smart Chain eingesetzt, und die Kredite werden üblicherweise über die Flash-Swap-Funktion voncakeSwap V3 abgewickelt.

Vor einigen Wochen wurde ein weiterer Flash-Loan-Angriff entdeckt.

Im Dezember 2025 ermöglichte BNB aus dem Pancake cake Swap-Liquiditätspool für das Währungspaar DMi/W BNB abzuheben und damit einen Gewinn von etwa 120.000 US-Dollar zu erzielen.

Dieser Angriff demonstrierte, wie eine Kombination aus Flash-Krediten und der Manipulation der internen Reserven des AMM-Paares mittels sync() und Callback-Funktionen dazu genutzt werden kann, den Pool vollständig zu leeren.

Der Angreifer erstellte zunächst den Exploit-Vertrag trac rief die Funktion f0ded652() auf, einen speziellen Einstiegspunkt in den Vertrag trac Anschließend ruft der Vertrag trac aus dem Moolah-Protokoll auf und fordert ungefähr 102.693 W BNB .

Nach Erhalt des Flash-Kredits initiiert trac Callback ermittelt zunächst den DMi-Token-Saldo im Pancake cake Swap-Pool, um die Reservemanipulation des Paares vorzubereiten.

Es ist zu beachten, dass die Schwachstelle nicht im Flash Loan, sondern imcakeSwap-tracliegt, wodurch eine Manipulation der Reserven durch eine Kombination aus Flash Swap und sync() ohne Schutz vor bösartigen Rückrufen möglich ist.

Sichern Sie sich 8 % CASH bei Kryptozahlungen mit Ihrer COCA Visa Karte. Bestellen Sie Ihre kostenlose Karte.