De PancakeSwap V2-pool voor OCAUSDC op BSC werd vandaag misbruikt in een verdachte transactie. De aanval resulteerde in het verlies van bijna $500.000 aan USDC-markt, geleegd in één enkele transactie.
Volgens rapporten van blockchain-beveiligingsplatforms maakte de aanvaller misbruik van een kwetsbaarheid in de deflationistische sellOCA()-logica, waardoor ze toegang kregen om de reserves van de pool te manipuleren. Het uiteindelijke bedrag waarmee de aanvaller ervandoor ging was naar verluidt ongeveer $422.000.
De exploit omvatte het gebruik van flash loans en flash swaps gecombineerd met herhaalde aanroepen van OCA's swapHelper-functie. Dit verwijderde OCA-tokens direct uit de liquiditeitspool tijdens swaps, waardoor de on-pair prijs van OCA kunstmatig werd opgeblazen en het leegpompen van USDC mogelijk werd gemaakt.
Hoe vond de OCA/USDC-exploit plaats?
De aanval werd naar verluidt uitgevoerd via drie transacties. De eerste om de exploit uit te voeren, en de volgende twee om te dienen als aanvullende builder-steekpenningen.
"In totaal werden 43 BNB plus 69 BNB betaald aan 48club-puissant-builder, wat een geschatte uiteindelijke winst van $340K opleverde," schreef Blocksec Phalcon op X over het incident, en voegde eraan toe dat een andere transactie in hetzelfde blok ook mislukte op positie 52, waarschijnlijk omdat het door de aanvaller werd gefrontrun.
Flash loans op PancakeSwap stellen gebruikers in staat om aanzienlijke hoeveelheden crypto-assets te lenen zonder onderpand; het geleende bedrag plus vergoedingen moet echter binnen hetzelfde transactieblok worden terugbetaald.
Ze worden voornamelijk gebruikt in arbitrage- en liquidatiestrategieën op de Binance Smart Chain, en de leningen worden meestal gefaciliteerd door PancakeSwap V3's flash swap-functie.
Enkele weken geleden werd een andere flash loan-aanval gedetecteerd
In december 2025 stelde een exploit een aanvaller in staat om ongeveer 138,6 WBNB op te nemen uit de PancakeSwap-liquiditeitspool voor het DMi/WBNB-paar, wat ongeveer $120.000 opleverde.
Die aanval toonde aan hoe een combinatie van flash loans en manipulatie van de interne reserves van het AMM-paar via sync()- en callback-functies kan worden gebruikt om de pool volledig leeg te trekken.
De aanvaller creëerde eerst het exploit-contract en riep de f0ded652()-functie aan, een gespecialiseerd toegangspunt in het contract, waarna het contract vervolgens flashLoan van het Moolah-protocol aanroept, waarbij ongeveer 102.693 WBNB wordt aangevraagd.
Bij ontvangst van de flash loan initieert het contract de onMoolahFlashLoan(…)-callback. Het eerste wat de callback doet is het DMi-tokensaldo in de PancakeSwap-pool achterhalen om de reservemanipulatie van het paar voor te bereiden.
Het moet worden opgemerkt dat de kwetsbaarheid niet in de flash loan zit, maar in het PancakeSwap-contract, dat manipulatie van reserves mogelijk maakt via een combinatie van flash swap en sync() zonder bescherming tegen kwaadaardige callbacks.
Bron: https://www.cryptopolitan.com/pancakeswap-v2-oca-usdc-pool-on-bsc-drained/
![[Tech Thoughts] Discord's standaard 'Teen'-instellingen zijn een gemengd verhaal voor gebruikers](https://www.rappler.com/tachyon/2026/02/discord-tech-thoughts-graphics-feb-13-2026.jpg)
