13–14 февраля 2026 года сразу два пула на PancakeSwap V2 в сети BNB Smart Chain были опустошены экономическими эксплойтами с манипуляцией резервами AMM. Параллельно в Ethereum произошёл инцидент иного класса — ошибка учёта средств в прокси-контракте займов, позволившая вывести почти весь пул ETH.

Несмотря на различие сетей и архитектур, все три кейса объединяет одно: отсутствие строгой защиты на уровне внутренней логики контрактов, где расчёт резервов, порядок обновления состояния и формула выплат становятся точкой отказа.

Ниже — детальный разбор механики и последующего движения средств.

Кейс 1. Кража ~$422,6k USDC из пула OCA / USDC (PancakeSwap V2)

Сеть: BNB Smart Chain

Дата: 13 февраля 2026

Тип: экономический эксплойт / манипуляция резервами AMM (flash-loan + flash swap)

 

Что произошло

Пул OCA/USDC был почти полностью опустошён за одну операцию.

Злоумышленник сначала временно занял крупную сумму в USDC. Затем он использовал особенности токена OCA, которые позволяли покупать его без стандартного штрафа. После этого атакующий начал намеренно «ломать» внутренний баланс пула, многократно вызывая открытые функции контракта.

Главный приём заключался в том, что количество токена OCA внутри пула искусственно уменьшалось. Из-за этого система автоматически решила, что OCA стал очень редким и дорогим.

Когда цена OCA внутри пула резко выросла, злоумышленник продал свои токены обратно и забрал почти все USDC, которые находились в пуле.

В итоге на адрес злоумышленника поступило около 422 645 USDC.

 

Движение средств

После фиксации прибыли 56 456 USDC были переведены на контракт атакующего
0xfE43Ac1924e64b33135A7756e3F78Bf4710dD458

Эти средства конвертированы в WBNB/BNB и отправлены через Puissant: Payment — вероятно, в формате приватного бандла.

Дополнительно 30 000 USDC были обменяны на 48 BNB. Оставшаяся часть средств на момент фиксации анализа оставалась на балансе основного адреса злоумышленника.

Кейс 2. Кража ~$248,6k из пула SOF / BSC-USD (PancakeSwap V2)

Сеть: BNB Smart Chain

Дата: 14 февраля 2026

Тип: экономический эксплойт / burn из пары + sync()

Что произошло

Этот случай похож на предыдущий, но реализован немного другим способом.

Злоумышленник заранее подготовил собственный контракт и во время одной операции временно получил большую сумму денег. Токен SOF был устроен так, что обычным пользователям запрещалось покупать его напрямую из пула, но атакующий нашёл адрес, для которого это ограничение не работало.

Далее он начал продажу SOF обратно в пул. При этом система сначала уменьшала количество токенов SOF внутри пула, затем пересчитывала внутренний баланс, и только потом добавляла токены от продавца. Из-за такого порядка действий пул на короткий момент «думал», что токен SOF стал очень редким.

В результате система автоматически завысила цену, и пул отдал злоумышленнику почти все свои средства в BSC-USD.

Всего из пула было выведено около 248 тысяч BSC-USD, из которых примерно 226 тысяч фактически поступили на адрес атакующего.

 

Движение средств

После получения прибыли около 213 000 BSC-USD были отправлены в FixedFloat девятью отдельными транзакциями.

Оставшаяся часть средств была обменяна на BNB и направлена в Tornado Cash.

Характер дробления указывает на попытку снизить риски быстрой блокировки.

Кейс 3. Кража ~$10,4k (5.2524 ETH) из прокси-контракта займов

Сеть: Ethereum

Дата: 12 февраля 2026

Тип: ошибка учёта средств / неправильный расчёт выплат

Что произошло

В контракте хранился общий пул ETH, обслуживающий займы. Логика закрытия займа предполагала выплату средств только тем адресам, которые были указаны получателями конкретного займа.

Злоумышленник создал новый займ, указал собственные адреса в качестве единственных получателей и инициировал закрытие.

Из-за ошибки в расчёте контракт использовал в качестве базы выплат весь баланс ETH контракта, а не только средства конкретного займа.

В результате почти весь пул ETH был переведён злоумышленнику.

Движение средств

Средства поступили на адрес:

0x3B1e24061478560d91f72F895e0cf7972f45d1EF

После этого они были распределены на пять адресов, затем направлены через Li.Fi.

Часть средств была отправлена на FixedFloat и другие адреса, где активы остаются на балансе.

Через Li.Fi средства были выведены в сеть Arbitrum, после чего заведены в Hyperliquid. Внутри платформы злоумышленник конвертировал активы в экспозицию на Monero (XMR / wrapped XMR), что существенно усложняет последующую трассировку.

 

Общий анализ

Два BSC-инцидента демонстрируют повторяющийся паттерн:

— публично вызываемые функции, влияющие на резервы;

— несинхронность burn и sync;

— возможность манипуляции ценой через временную ликвидность.

Ethereum-кейс показывает иной класс риска — ошибку внутреннего учёта, когда расчёт выплат строится на глобальном балансе контракта.