Le pool PancakeSwap V2 OCA/USDC sur BSC vidé de 422 000 $

Le pool PancakeSwap V2 pour OCA/USDC sur BSC a été exploité lors d'une transaction suspecte détectée aujourd'hui. L'attaque a entraîné la perte de près de 500 000 $ de marché USDC, drainés en une seule transaction.

Selon les rapports des plateformes de sécurité blockchain, l'attaquant a exploité une vulnérabilité dans la logique déflationniste de sellOCA(), lui donnant accès pour manipuler les réserves du pool. Le montant final que l'attaquant a réussi à obtenir était d'environ 422 000 $.

L'exploitation a impliqué l'utilisation de prêts flash et de swaps flash combinés à des appels répétés à la fonction swapHelper d'OCA. Cela a retiré les tokens OCA directement du pool de liquidité pendant les swaps, gonflant artificiellement le prix de paire d'OCA et permettant le drainage d'USDC

Comment l'exploitation OCA/USDC s'est-elle produite ?

L'attaque aurait été exécutée via trois transactions. La première pour effectuer l'exploitation, et les deux suivantes pour servir de pots-de-vin supplémentaires au constructeur.

« Au total, 43 BNB plus 69 BNB ont été payés à 48club-puissant-builder, laissant un profit final estimé à 340 000 $ », a écrit Blocksec Phalcon sur X à propos de l'incident, ajoutant qu'une autre transaction dans le même bloc a également échoué à la position 52, probablement parce qu'elle a été devancée par l'attaquant.

Les prêts flash sur PancakeSwap permettent aux utilisateurs d'emprunter des montants importants de cryptomonnaies sans garantie ; cependant, le montant emprunté plus les frais doivent être remboursés dans le même bloc de transaction.

Ils sont principalement utilisés dans les stratégies d'arbitrage et de liquidation sur la Binance Smart Chain, et les prêts sont généralement facilités par la fonction de swap flash de PancakeSwap V3.

Une autre attaque par prêt flash a été détectée il y a quelques semaines

En décembre 2025, une exploitation a permis à un attaquant de retirer environ 138,6 WBNB du pool de liquidité PancakeSwap pour la paire DMi/WBNB, rapportant environ 120 000 $.

Cette attaque a démontré comment une combinaison de prêts flash et de manipulation des réserves internes de la paire AMM via les fonctions sync() et callback peut être utilisée pour épuiser complètement le pool.

L'attaquant a d'abord créé le contrat d'exploitation et appelé la fonction f0ded652(), un point d'entrée spécialisé dans le contrat, après quoi le contrat appelle flashLoan du protocole Moolah, demandant environ 102 693 WBNB.

Après avoir reçu le prêt flash, le contrat lance le callback onMoolahFlashLoan(…). La première chose que le callback fait est de découvrir le solde de tokens DMi dans le pool PancakeSwap afin de préparer la manipulation des réserves de la paire.

Il convient de noter que la vulnérabilité ne se trouve pas dans le prêt flash, mais dans le contrat PancakeSwap, permettant la manipulation des réserves via une combinaison de swap flash et de sync() sans protection contre les callbacks malveillants.