Os flash loans (empréstimos relâmpago) surgiram como uma inovação poderosa no ecossistema DeFi, permitindo que usuários tomem grandes quantias de capital sem colateral, contanto que o empréstimo seja devolvido na mesma transação. Embora essa ferramenta ofereça oportunidades legítimas, como arbitragem e rebalanço de portfólios, ela também se tornou um vetor frequente de ataques que podem drenar fundos de protocolos vulneráveis.
O que são flash loans?
Um flash loan funciona em três etapas dentro de uma única transação Ethereum:
- O usuário solicita o empréstimo de um pool de liquidez.
- Executa operações arbitrárias (arbitragem, swap, colateralização, etc.).
- Devolve o valor emprestado + taxa ao final da transação.
Se qualquer uma das etapas falhar, a transação inteira é revertida, garantindo que o pool nunca fique sem fundos.
Principais tipos de ataques que utilizam flash loans
- Manipulação de preço (price oracle attack): O atacante empresta grande quantidade de um token, altera o preço em um oráculo de preço ou em um pool AMM e, em seguida, executa uma operação de liquidação ou compra a preço inflacionado.
- Exploração de vulnerabilidades em contratos de liquidação: Utilizando o capital imediato, o atacante força a liquidação de posições subcolateralizadas em protocolos de empréstimo, obtendo lucro ao vender os ativos colaterais a preço de mercado.
- Ataques de reentrância combinados com flash loans: Um contrato mal projetado permite chamadas recursivas que, quando combinadas com o capital de um flash loan, drenam fundos de forma rápida.
Exemplos reais de ataques famosos
Em 2020, o ataque ao bZx Protocol utilizou um flash loan de US$ 1 milhão para manipular o preço do token BNB e gerar um lucro de cerca de US$ 350 mil. Em 2022, o Iron Bank sofreu uma exploração onde o atacante usou um flash loan para explorar uma falha na lógica de cálculo de juros, resultando em perdas de mais de US$ 2 milhões.
Como se proteger contra ataques com flash loans
- Utilizar oráculos de preço robustos: Combine múltiplas fontes de preço (Chainlink, Band, etc.) e implemente mecanismos de delay para evitar manipulações instantâneas.
- Implementar limites de liquidez: Defina limites máximos de empréstimo por transação ou por bloco para reduzir o impacto de um flash loan malicioso.
- Auditar contratos de liquidação: Garanta que as funções de liquidação não dependam de variáveis que podem ser alteradas dentro da mesma transação.
- Monitorar atividades suspeitas: Ferramentas como DeFiRate e CoinDesk oferecem alertas em tempo real de grandes movimentações de flash loans.
Recursos adicionais
Para aprofundar seu conhecimento sobre empréstimos em DeFi, leia Empréstimos em DeFi: Como Funcionam e O Que Você Precisa Saber em 2025. O Guia Completo de Plataformas de Empréstimo DeFi também traz uma visão detalhada das principais plataformas e seus mecanismos de segurança. Por fim, o Aave Protocolo: Guia Completo 2025 explica como o maior provedor de flash loans do mercado funciona e quais medidas de mitigação ele adota.
Entender como os flash loans são usados em ataques é essencial para desenvolvedores, investidores e usuários que desejam navegar com segurança no universo DeFi.