今日,据检测,BSC 链上的 PancakeSwap V2 OCA/USDC 池在一笔可疑交易中遭到攻击。此次攻击导致近 50 万美元市值的 USDC 在单笔交易中被抽干。根据区块链安全平台的报告,攻击者利用了通缩代币 sellOCA() 逻辑中的一个漏洞,从而得以操纵该资金池的储备。据报道,攻击者最终盗走的金额约为 42.2 万美元。
此次攻击涉及使用闪电贷和闪电兑换,并结合了对 OCA 的 swapHelper 函数的重复调用。这使得攻击者在兑换过程中直接从流动性池中移除了 OCA 代币,人为地抬高了 OCA 的链上交易对价格,从而能够耗尽池中的 USDC。
OCA/USDC 攻击是如何发生的?
据报道,此次攻击通过三笔交易执行。第一笔交易实施了攻击,随后的两笔交易则作为额外的构建者贿赂(builder bribes)。
Blocksec Phalcon 在关于此事件的 X 帖子中写道:“总共有 43 BNB 和 69 BNB 支付给了 48club-puissant-builder,最终估计利润为 34 万美元。” 他补充说,同一区块中的另一笔交易在第 52 个位置也失败了,很可能是因为它被攻击者抢跑了。
PancakeSwap 上的闪电贷允许用户在没有抵押品的情况下借入大量加密资产;但是,借入的金额加上费用必须在同一个交易区块内偿还。闪电贷主要用于币安智能链上的套利和清算策略,这些贷款通常由 PancakeSwap V3 的闪电兑换功能促成。
数周前检测到另一起闪电贷攻击
在 2025 年 12 月,一次攻击允许攻击者从 PancakeSwap 的 DMi/WBNB 流动性池中提取约 138.6 WBNB,获利约 12 万美元。那次攻击展示了如何结合使用闪电贷,并通过 sync() 和回调函数操纵 AMM 交易对的内部储备,从而能够完全耗尽资金池。
攻击者首先创建了攻击合约,并调用了 f0ded652() 函数,这是合约的一个特殊入口点。之后,合约从 Moolah 协议调用 flashLoan,请求约 102,693 WBNB。收到闪电贷后,合约启动 onMoolahFlashLoan(…) 回调。回调函数首先要做的是查明 PancakeSwap 池中的 DMi 代币余额,为操纵交易对的储备做准备。
值得注意的是,漏洞本身不在于闪电贷,而在于 PancakeSwap 合约,该合约允许通过闪电兑换和 sync() 的组合来操纵储备,且没有针对恶意回调的保护措施。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/02/15/pancakeswap-v2-%e5%86%8d%e6%9b%9d%e6%bc%8f%e6%b4%9e%ef%bc%9aoca-usdc-%e8%b5%84%e9%87%91%e6%b1%a0%e8%a2%ab%e9%bb%91%ef%bc%8c%e6%8d%9f%e5%a4%b1%e8%b6%85-42-%e4%b8%87%e7%be%8e%e5%85%83/
