Kolam PancakeSwap V2 OCA/USDC di BSC diretas untuk $422k - Coinfea

Pool PancakeSwap V2 untuk OCA/USDC di BSC telah dieksploitasi dalam transaksi mencurigakan. Serangan tersebut mengakibatkan kerugian hampir 500.000 dolar AS dalam pasar USDC, yang dikuras dalam satu transaksi.

Menurut laporan dari platform keamanan Blockchain, penyerang memanfaatkan kerentanan dalam logika deflasi sellOCA(), yang memberi mereka akses untuk memanipulasi cadangan pool. Jumlah akhir yang berhasil diambil penyerang dilaporkan sekitar 422.000 dolar AS.

Eksploitasi ini melibatkan penggunaan pinjaman kilat dan swap kilat yang dikombinasikan dengan panggilan berulang ke fungsi swapHelper OCA. Ini menghapus token OCA langsung dari pool likuiditas selama swap, secara artifisial meningkatkan harga OCA di pasangan tersebut dan memungkinkan pengurasan USDC.

Peretas Menguras PancakeSwap V2 OCA/USDC

Serangan ini dilaporkan dilakukan melalui tiga transaksi. Yang pertama untuk melakukan eksploitasi, dan dua berikutnya sebagai suap tambahan bagi pembangun. “Secara total, 43 BNB ditambah 69 BNB dibayarkan kepada 48club-puissant-builder, meninggalkan keuntungan akhir diperkirakan sebesar 340.000 dolar,” tulis Blocksec Phalcon di X tentang insiden tersebut, menambahkan bahwa transaksi lain dalam blok yang sama juga gagal di posisi 52, kemungkinan karena di-front-run oleh penyerang.

Pinjaman kilat di PancakeSwap memungkinkan pengguna meminjam aset kripto dalam jumlah besar tanpa jaminan; namun, jumlah yang dipinjam ditambah biaya harus dilunasi dalam blok transaksi yang sama. Mereka terutama digunakan dalam strategi arbitrase dan likuidasi di Binance Smart Chain, dan pinjaman biasanya difasilitasi oleh fungsi swap kilat PancakeSwap V3.

Pada Desember 2025, sebuah eksploitasi memungkinkan penyerang menarik sekitar 138,6 WBNB dari pool likuiditas PancakeSwap untuk pasangan DMi/WBNB, menghasilkan sekitar 120.000 dolar AS. Serangan tersebut menunjukkan bagaimana kombinasi pinjaman kilat dan manipulasi cadangan internal pasangan AMM melalui sync() dan fungsi callback dapat digunakan untuk menguras pool secara total.

Penyerang pertama kali membuat kontrak eksploitasi dan memanggil fungsi f0ded652(), sebuah titik masuk khusus ke kontrak, setelah itu kontrak tersebut memanggil flashLoan dari protokol Moolah, meminta sekitar 102.693 WBNB. Setelah menerima pinjaman kilat, kontrak memulai callback onMoolahFlashLoan(…).

Hal pertama yang dilakukan callback adalah mengetahui saldo token DMi di pool PancakeSwap untuk mempersiapkan manipulasi cadangan pasangan. Perlu dicatat bahwa kerentanan bukan terletak pada pinjaman kilat, tetapi pada kontrak PancakeSwap, yang memungkinkan manipulasi cadangan melalui kombinasi swap kilat dan sync() tanpa perlindungan terhadap callback berbahaya.