El fondo de intercambio decakeSwap V2 OCA/USDC en BSC se quedó sin $422,000

El poolcakeSwap V2 para OCAUSDC en BSC fue explotado en una transacción sospechosa detectada hoy. El ataque resultó en la pérdida de casi $500,000 en el mercado de USDC, en una sola transacción.

Según informes de blockchain , el atacante aprovechó una vulnerabilidad en la lógica deflacionaria sellOCA(), lo que le permitió manipular las reservas del fondo. La cantidad final que obtuvo fue de aproximadamente $422,000.

El exploit implicó el uso de préstamos flash y swaps flash, junto con repetidas llamadas a la función swapHelper de OCA. Esto eliminó los tokens de OCA directamente del fondo de liquidez durante los swaps, inflando artificialmente el precio de OCA en el par y permitiendo el drenaje de USDC.

¿Cómo ocurrió el exploit OCA/USDC?

Según se informa, el ataque se ejecutó mediante tres transacciones: la primera para ejecutar el exploit y las dos siguientes para sobornar a los constructores.

“En total, se pagaron 43 BNB más 69 BNB a 48club-puissant-builder, dejando una ganancia final estimada de $340K”, escribió Blocksec Phalcon en X sobre eldent, y agregó que otra transacción en el mismo bloque también falló en la posición 52, probablemente porque el atacante se adelantó.

Los préstamos flash en Pan cake Swap permiten a los usuarios tomar prestadas cantidades significativas de criptoactivos sin garantía; sin embargo, el monto prestado más las tarifas deben reembolsarse dentro del mismo bloque de transacción.

Se utilizan principalmente en estrategias de arbitraje y liquidación en Binance Smart Chain, y los préstamos generalmente son facilitados por la función de intercambio flash decakeSwap V3.

Hace semanas se detectó otro ataque de préstamos flash

En diciembre de 2025, un exploit permitió a un atacante retirar aproximadamente 138,6 W BNB del fondo de liquidez Pancake cake par DMi/W BNB

Ese ataque demostró cómo una combinación de préstamos flash y manipulación de las reservas internas del par AMM a través de funciones sync() y callback puede usarse para agotar completamente el fondo.

El atacante primero creó el trac y llamó a la función f0ded652(), un punto de entrada especializado en el contrato trac después de lo cual el contrato trac a desde el protocolo Moolah, solicitando aproximadamente 102,693 W BNB .

Al recibir el préstamo flash, el contrato trac la devolución de llamada onMoolahFlashLoan(…). Lo primero que hace la devolución de llamada es averiguar el saldo de tokens DMi en el cake Swap para preparar la manipulación de reservas del par.

Cabe señalar que la vulnerabilidad no está en el préstamo flash, sino en eltraccakeSwap, que permite la manipulación de reservas a través de una combinación de flash swap y sync() sin protección contra devoluciones de llamadas maliciosas.

Obtén un 8% CASH al gastar criptomonedas con la tarjeta Visa COCA. Solicita tu tarjeta GRATIS.