El pool V2 de PancakeSwap para OCA/USDC en BSC fue explotado en una transacción sospechosa detectada hoy. El ataque resultó en la pérdida de casi $500,000 en valor de mercado de USDC, drenados en una sola transacción.
Según informes de plataformas de seguridad de Blockchain, el atacante explotó una vulnerabilidad en la lógica deflacionaria de sellOCA(), dándoles acceso para manipular las reservas del pool. La cantidad final con la que el atacante se escapó fue reportadamente aproximadamente $422,000.
El exploit involucró el uso de préstamos flash y swaps flash combinados con llamadas repetidas a la función swapHelper de OCA. Esto removió tokens OCA directamente del pool de liquidez durante los swaps, inflando artificialmente el precio on-pair de OCA y habilitando el drenaje de USDC
¿Cómo ocurrió el exploit de OCA/USDC?
El ataque fue reportadamente ejecutado a través de tres transacciones. La primera para llevar a cabo el exploit, y las siguientes dos para servir como sobornos adicionales al constructor.
"En total, 43 BNB más 69 BNB fueron pagados a 48club-puissant-builder, dejando una ganancia final estimada de $340K," escribió Blocksec Phalcon en X sobre el incidente, agregando que otra transacción en el mismo bloque también falló en la posición 52, probablemente porque fue anticipada por el atacante.
Los préstamos flash en PancakeSwap permiten a los usuarios pedir prestadas cantidades significativas de activos cripto sin colateral; sin embargo, la cantidad prestada más las comisiones deben ser reembolsadas dentro del mismo bloque de transacción.
Se utilizan principalmente en estrategias de arbitraje y liquidación en Binance Smart Chain, y los préstamos son usualmente facilitados por la función de flash swap de PancakeSwap V3.
Otro ataque de préstamo flash fue detectado hace semanas
En diciembre de 2025, un exploit permitió a un atacante retirar aproximadamente 138.6 WBNB del pool de liquidez de PancakeSwap para el par DMi/WBNB, obteniendo aproximadamente $120,000.
Ese ataque demostró cómo una combinación de préstamos flash y manipulación de las reservas internas del par AMM a través de funciones sync() y callback es capaz de ser utilizada para agotar completamente el pool.
El atacante primero creó el contrato de exploit y llamó a la función f0ded652(), un punto de entrada especializado en el contrato, después de lo cual el contrato entonces llama flashLoan del protocolo Moolah, solicitando aproximadamente 102,693 WBNB.
Al recibir el préstamo flash, el contrato inicia el callback onMoolahFlashLoan(…). Lo primero que el callback hace es averiguar el balance de tokens DMi en el pool de PancakeSwap para prepararse para la manipulación de reservas del par.
Debe notarse que la vulnerabilidad no está en el préstamo flash, sino en el contrato de PancakeSwap, permitiendo la manipulación de reservas a través de una combinación de flash swap y sync() sin protección contra callbacks maliciosos.
Fuente: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
