tradingkey.logo
tradingkey.logo
Buscar

El fondo de intercambio decakeSwap V2 OCA/USDC en BSC se quedó sin $422,000

Cryptopolitan14 de feb de 2026 23:02
facebooktwitterlinkedin
Ver todos los comentarios0

El poolcakeSwap V2 para OCAUSDC en BSC fue explotado en una transacción sospechosa detectada hoy. El ataque resultó en la pérdida de casi $500,000 en el mercado de USDC, en una sola transacción.

Según informes de blockchain , el atacante aprovechó una vulnerabilidad en la lógica deflacionaria sellOCA(), lo que le permitió manipular las reservas del fondo. La cantidad final que obtuvo fue de aproximadamente $422,000.

El exploit implicó el uso de préstamos flash y swaps flash, junto con repetidas llamadas a la función swapHelper de OCA. Esto eliminó los tokens de OCA directamente del fondo de liquidez durante los swaps, inflando artificialmente el precio de OCA en el par y permitiendo el drenaje de USDC.

¿Cómo ocurrió el exploit OCA/USDC?

Según se informa, el ataque se ejecutó mediante tres transacciones: la primera para ejecutar el exploit y las dos siguientes para sobornar a los constructores.

“En total, se pagaron 43 BNB más 69 BNB a 48club-puissant-builder, dejando una ganancia final estimada de $340K”, escribió Blocksec Phalcon en X sobre eldent, y agregó que otra transacción en el mismo bloque también falló en la posición 52, probablemente porque el atacante se adelantó.

Los préstamos flash en Pan cake Swap permiten a los usuarios tomar prestadas cantidades significativas de criptoactivos sin garantía; sin embargo, el monto prestado más las tarifas deben reembolsarse dentro del mismo bloque de transacción.

Se utilizan principalmente en estrategias de arbitraje y liquidación en Binance Smart Chain, y los préstamos generalmente son facilitados por la función de intercambio flash decakeSwap V3.

Hace semanas se detectó otro ataque de préstamos flash

En diciembre de 2025, un exploit permitió a un atacante retirar aproximadamente 138,6 W BNB del fondo de liquidez Pancake cake par DMi/W BNB

Ese ataque demostró cómo una combinación de préstamos flash y manipulación de las reservas internas del par AMM a través de funciones sync() y callback puede usarse para agotar completamente el fondo.

El atacante primero creó el trac y llamó a la función f0ded652(), un punto de entrada especializado en el contrato trac después de lo cual el contrato trac a desde el protocolo Moolah, solicitando aproximadamente 102,693 W BNB .

Al recibir el préstamo flash, el contrato trac la devolución de llamada onMoolahFlashLoan(…). Lo primero que hace la devolución de llamada es averiguar el saldo de tokens DMi en el cake Swap para preparar la manipulación de reservas del par.

Cabe señalar que la vulnerabilidad no está en el préstamo flash, sino en eltraccakeSwap, que permite la manipulación de reservas a través de una combinación de flash swap y sync() sin protección contra devoluciones de llamadas maliciosas.

Obtén un 8% CASH al gastar criptomonedas con la tarjeta Visa COCA. Solicita tu tarjeta GRATIS.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.