Der PancakeSwap V2 Pool für OCAUSDC auf BSC wurde heute in einer verdächtigen Transaktion ausgenutzt. Der Angriff führte zum Verlust von fast 500.000 US-Dollar an USDC-Markt, der in einer einzigen Transaktion abgezogen wurde.
Laut Berichten von Blockchain-Sicherheitsplattformen nutzte der Angreifer eine Schwachstelle in der deflationären sellOCA()-Logik aus, die ihm Zugriff auf die Manipulation der Reserven des Pools verschaffte. Der endgültige Betrag, mit dem der Angreifer davonkam, belief sich Berichten zufolge auf etwa 422.000 US-Dollar.
Der Exploit beinhaltete die Verwendung von Flash Loans und Flash-Swaps in Kombination mit wiederholten Aufrufen der swapHelper-Funktion von OCA. Dies entfernte OCA-Token direkt aus dem Liquiditätspool während der Swaps, blähte den Paarpreis von OCA künstlich auf und ermöglichte den Abfluss von USDC
Wie kam es zum OCA/USDC-Exploit?
Der Angriff wurde Berichten zufolge über drei Transaktionen ausgeführt. Die erste zur Durchführung des Exploits und die folgenden zwei als zusätzliche Builder-Bestechungsgelder.
„Insgesamt wurden 43 BNB plus 69 BNB an 48club-puissant-builder gezahlt, was einen geschätzten Endgewinn von 340.000 US-Dollar hinterließ", schrieb Blocksec Phalcon auf X über den Vorfall und fügte hinzu, dass eine weitere Transaktion im selben Block ebenfalls an Position 52 fehlschlug, wahrscheinlich weil sie vom Angreifer frontrun wurde.
Flash Loans auf PancakeSwap ermöglichen es Nutzern, erhebliche Mengen an Krypto-Assets ohne Sicherheiten zu leihen; der geliehene Betrag plus Gebühren muss jedoch innerhalb desselben Transaktionsblocks zurückgezahlt werden.
Sie werden hauptsächlich in Arbitrage- und Liquidationsstrategien auf der Binance Smart Chain verwendet, und die Kredite werden normalerweise durch die Flash-Swap-Funktion von PancakeSwap V3 ermöglicht.
Ein weiterer Flash-Loan-Angriff wurde vor Wochen entdeckt
Im Dezember 2025 ermöglichte ein Exploit einem Angreifer, etwa 138,6 WBNB aus dem PancakeSwap-Liquiditätspool für das DMi/WBNB-Paar abzuheben, was etwa 120.000 US-Dollar einbrachte.
Dieser Angriff demonstrierte, wie eine Kombination aus Flash Loans und Manipulation der internen Reserven des AMM-Paars über sync()- und Callback-Funktionen verwendet werden kann, um den Pool vollständig zu entleeren.
Der Angreifer erstellte zunächst den Exploit-Vertrag und rief die Funktion f0ded652() auf, einen spezialisierten Einstiegspunkt in den Vertrag, wonach der Vertrag dann flashLoan vom Moolah-Protokoll aufruft und etwa 102.693 WBNB anfordert.
Nach Erhalt des Flash Loans initiiert der Vertrag den onMoolahFlashLoan(...)-Callback. Das Erste, was der Callback tut, ist, das DMi-Token-Guthaben im PancakeSwap-Pool herauszufinden, um die Manipulation der Reserven des Paars vorzubereiten.
Es sollte beachtet werden, dass die Schwachstelle nicht im Flash Loan liegt, sondern im PancakeSwap-Vertrag, der die Manipulation von Reserven über eine Kombination aus Flash-Swap und sync() ohne Schutz vor bösartigen Callbacks ermöglicht.
Quelle: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
![[Tech Thoughts] Discords standardmäßige „Teen"-Einstellungen sind für Nutzer ein zweischneidiges Schwert](https://www.rappler.com/tachyon/2026/02/discord-tech-thoughts-graphics-feb-13-2026.jpg)
