تم استنزاف مجمع OCA/USDC في PancakeSwap V2 على BSC بمبلغ 422 ألف دولار

تم استغلال مجمع PancakeSwap V2 لـ OCAUSDC على BSC في معاملة مشبوهة تم اكتشافها اليوم. أدى الهجوم إلى خسارة ما يقرب من 500,000 دولار من سوق USDC، تم استنزافها في معاملة واحدة.

وفقًا لتقارير من منصات أمان البلوكشين، استغل المهاجم ثغرة في منطق sellOCA() الانكماشي، مما منحهم إمكانية التلاعب باحتياطيات المجمع. وكان المبلغ النهائي الذي حصل عليه المهاجم حوالي 422,000 دولار حسب التقارير.

تضمن الاستغلال استخدام القروض السريعة والمقايضات السريعة مع استدعاءات متكررة لوظيفة swapHelper الخاصة بـ OCA. أدى هذا إلى إزالة رموز OCA مباشرة من مجمع السيولة أثناء المقايضات، مما أدى إلى تضخيم سعر OCA على الزوج بشكل مصطنع وتمكين استنزاف USDC

كيف حدث استغلال OCA/USDC؟

تم تنفيذ الهجوم حسب التقارير عبر ثلاث معاملات. الأولى لتنفيذ الاستغلال، والاثنتان التاليتان لتكون بمثابة رشاوى إضافية للبناء.

"في المجموع، تم دفع 43 BNB بالإضافة إلى 69 BNB إلى 48club-puissant-builder، مما ترك ربحًا نهائيًا مقدرًا بـ 340,000 دولار"، كتب Blocksec Phalcon على X حول الحادث، مضيفًا أن معاملة أخرى في نفس الكتلة فشلت أيضًا في الموضع 52، على الأرجح لأنها تم تجاوزها من قبل المهاجم.

تسمح القروض السريعة على PancakeSwap للمستخدمين باقتراض كميات كبيرة من أصول الكريبتو بدون ضمانات؛ ومع ذلك، يجب سداد المبلغ المقترض بالإضافة إلى الرسوم ضمن نفس كتلة المعاملة.

يتم استخدامها بشكل أساسي في استراتيجيات المراجحة والتصفية على سلسلة منصة بينانس الذكية، وعادة ما يتم تسهيل القروض من خلال وظيفة المقايضة السريعة في PancakeSwap V3.

تم اكتشاف هجوم قرض سريع آخر قبل أسابيع

في ديسمبر 2025، سمح استغلال للمهاجم بسحب ما يقرب من 138.6 WBNB من مجمع السيولة PancakeSwap لزوج DMi/WBNB، بصافي ربح يقارب 120,000 دولار.

أظهر ذلك الهجوم كيف يمكن استخدام مزيج من القروض السريعة والتلاعب بالاحتياطيات الداخلية لزوج AMM عبر وظائف sync() والاستدعاء الخلفي لاستنزاف المجمع بالكامل.

أنشأ المهاجم أولاً عقد الاستغلال واستدعى وظيفة f0ded652()، وهي نقطة دخول متخصصة في العقد، وبعد ذلك يستدعي العقد flashLoan من بروتوكول Moolah، طالبًا ما يقرب من 102,693 WBNB.

عند تلقي القرض السريع، يبدأ العقد بالاستدعاء الخلفي onMoolahFlashLoan(…). أول ما يفعله الاستدعاء الخلفي هو معرفة رصيد رمز DMi في مجمع PancakeSwap من أجل الاستعداد للتلاعب باحتياطي الزوج.

تجدر الإشارة إلى أن الثغرة ليست في القرض السريع، ولكن في عقد PancakeSwap، مما يسمح بالتلاعب بالاحتياطيات عبر مزيج من المقايضة السريعة وsync() دون حماية ضد الاستدعاءات الخلفية الضارة.