El pool OCA/USDC de PancakeSwap V2 en BSC hackeado por $422k - Coinfea

Coinfea · 2026-02-15T14:18:53+00:00

El pool OCA/USDC de PancakeSwap V2 en BSC fue explotado, lo que resultó en una pérdida de casi $500,000 en USDC. El atacante manipuló las reservas del pool a través de una vulnerabilidad en la lógica sellOCA(), utilizando préstamos flash y intercambios para drenar fondos del pool.

Coinfea

2026-02-15 14:18:53

Generación de resúmenes en curso

El pool de PancakeSwap V2 para OCA/USDC en BSC fue explotado en una transacción sospechosa. El ataque resultó en la pérdida de casi 500,000 dólares en USDC, drenados en una sola transacción.

Según informes de plataformas de seguridad blockchain, el atacante explotó una vulnerabilidad en la lógica deflacionaria sellOCA(), lo que le permitió manipular las reservas del pool. La cantidad final que logró sustraer fue aproximadamente 422,000 dólares.

El exploit involucró el uso de préstamos flash y intercambios flash combinados con llamadas repetidas a la función swapHelper de OCA. Esto eliminó tokens OCA directamente del pool de liquidez durante los intercambios, inflando artificialmente el precio en el par y permitiendo el drenaje de USDC.

Los hackers vacían PancakeSwap V2 OCA/USDC

El ataque se ejecutó, al parecer, mediante tres transacciones. La primera para realizar el exploit y las dos siguientes para servir como sobornos adicionales a los constructores. “En total, se pagaron 43 BNB más 69 BNB a 48club-puissant-builder, dejando una ganancia final estimada en 340,000 dólares”, escribió Blocksec Phalcon en X sobre el incidente, añadiendo que otra transacción en el mismo bloque también falló en la posición 52, probablemente porque fue frontrun por el atacante.

Los préstamos flash en PancakeSwap permiten a los usuarios tomar prestadas cantidades significativas de activos cripto sin colateral; sin embargo, el monto prestado más las tarifas deben ser devueltos dentro del mismo bloque de transacción. Se utilizan principalmente en estrategias de arbitraje y liquidación en Binance Smart Chain, y los préstamos suelen facilitarse mediante la función de intercambio flash de PancakeSwap V3.

En diciembre de 2025, un exploit permitió a un atacante retirar aproximadamente 138.6 WBNB del pool de liquidez de PancakeSwap para el par DMi/WBNB, obteniendo aproximadamente 120,000 dólares. Ese ataque demostró cómo una combinación de préstamos flash y manipulación de las reservas internas del par AMM mediante sync() y funciones de callback puede usarse para agotar completamente el pool.

El atacante primero creó el contrato de exploit y llamó a la función f0ded652(), un punto de entrada especializado en el contrato, tras lo cual el contrato llama a flashLoan desde el protocolo Moolah, solicitando aproximadamente 102,693 WBNB. Al recibir el préstamo flash, el contrato inicia la función onMoolahFlashLoan(…).

Lo primero que hace el callback es averiguar el saldo de tokens DMi en el pool de PancakeSwap para preparar la manipulación de las reservas del par. Cabe señalar que la vulnerabilidad no está en el préstamo flash, sino en el contrato de PancakeSwap, que permite manipular las reservas mediante una combinación de intercambio flash y sync() sin protección contra callbacks maliciosos.

CAKE-3,79%

USDC-0,02%

ON-12,39%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.