تم استغلال تجمع PancakeSwap V2 لزوج OCA/USDC على شبكة BSC في عملية مشبوهة تم اكتشافها اليوم. نتج عن هذا الهجوم خسارة ما يقارب نصف مليون دولار من عملة USDC، تم سحبها في معاملة واحدة.
تفاصيل الهجوم على OCA/USDC
وفقًا لتقارير منصات أمن البلوك تشين، استغل المهاجم ثغرة في المنطق البرمجي للدالة sellOCA، مما منحه القدرة على التلاعب باحتياطيات التجمع. وبلغ إجمالي المبلغ الذي حصل عليه المهاجم حوالي 422,000 دولار.
اعتمد الاستغلال على استخدام قروض الفلاش ومبادلات الفلاش، جنبًا إلى جنب مع استدعاءات متكررة لدالة swapHelper الخاصة بعملة OCA. أدت هذه العملية إلى إزالة رموز OCA مباشرة من تجمع السيولة أثناء عمليات المبادلة، مما رفع سعر OCA بشكل مصطنع وسهل عملية سحب عملة USDC.
كيف حدث الاستغلال؟
نُفذ الهجوم عبر ثلاث معاملات رئيسية: الأولى لتنفيذ الاستغلال، واللتان تليها لدفع رشاوى إضافية. وتم دفع ما مجموعه 43 BNB بالإضافة إلى 69 BNB، تاركًا ربحًا صافيًا للمهاجم يقدر بـ 340 ألف دولار.
ما هي قروض الفلاش؟
تسمح قروض الفلاش على PancakeSwap للمستخدمين باقتراض مبالغ كبيرة من الأصول المشفرة دون ضمانات، ولكن يجب سداد المبلغ المقترض بالإضافة إلى الرسوم داخل نفس كتلة المعاملة. تُستخدم هذه القروض بشكل أساسي في استراتيجيات المراجحة والتصفية على شبكة بينانس سمارت تشين.
هجوم سابق مشابه
قبل أسابيع، في ديسمبر 2025، تم اكتشاف هجوم آخر مشابه. سمح ذلك الاستغلال لمهاجم بسحب ما يقارب 138.6 WBNB من تجمع سيولة PancakeSwap لزوج DMi/WBNB، محققًا ربحًا يقدر بـ 120,000 دولار. وأظهر ذلك الهجوم كيف يمكن استخدام مزيج من قروض الفلاش والتلاعب بالاحتياطيات الداخلية للزوج عبر دوال sync() و callback لتفريغ التجمع بالكامل.
الأسئلة الشائعة
ما الذي حدث في هجوم PancakeSwap؟
تم استغلال ثغرة في تجمع سيولة OCA/USDC على PancakeSwap، مما أدى إلى سرقة ما يقارب 500,000 دولار من عملة USDC.
كيف تم تنفيذ الهجوم؟
استخدم المهاجم قروض ومبادلات الفلاش، مع التلاعب بالدوال البرمجية لرفع سعر OCA بشكل وهمي وسحب احتياطيات USDC.
هل المشكلة في آلية قروض الفلاش؟
لا، المشكلة ليست في آلية قروض الفلاش نفسها، ولكن في عقد PancakeSwap الذي سمح بالتلاعب بالاحتياطيات دون حماية كافية ضد الاستدعاءات الضارة.
