Flash loan attack je typ exploitu na DeFi protokolu, při kterém útočník využije tzv. flash loan — nezajištěnou půjčku, kterou si v rámci jedné blockchain transakce vypůjčí a okamžitě splatí — k manipulaci cen, vyčerpání likvidity nebo zneužití chyby smart contractu. Pokud útočník nedokáže půjčku v téže transakci vrátit, transakce se neprovede a útočník nic nedluží; pokud uspěje, odejde se ziskem v řádu milionů USD.

Stručně

  • Flash loan = půjčka, která existuje jen v rámci jedné transakce — bez kolaterálu.
  • Útočník půjčí obrovský objem, manipuluje cenu na DEX nebo oracle, profituje a splácí ve stejné transakci.
  • Historicky desítky útoků za stovky milionů USD: bZx, Harvest Finance, Cream Finance, Euler.
  • Obrana: robustní oracle (TWAP, Chainlink), reentrancy guard, audity smart contractu.

Co to je

Flash loan je inovace, kterou poprvé umožnil Aave: jedna transakce na Ethereu může obsahovat sekvenci kroků (půjčka → akce → splacení) a buďto se provede celá, nebo se neprovede vůbec. Útočník toho zneužije takto:

  1. Půjčí si flash loanem milionové množství tokenu (např. 100 mil. USD).
  2. V téže transakci s ním manipuluje cenu na špatně chráněném DEX poolu (oracle pak vidí pokřivenou cenu).
  3. Vstoupí do lendingového protokolu, který oracle používá, a vypůjčí si jiná aktiva proti pokřivené hodnotě.
  4. Odešle profit do své peněženky.
  5. Splatí flash loan.

Pokud krok 5 selže, blockchain transakci nezapíše. Útočník neriskuje vlastní kapitál — riskuje jen gas fee.

V Česku

Pro českého investora platí:

  • Flash loan attack je technické riziko, které nese protokol, ne přímo uživatel — ale v okamžiku exploitu typicky zmizí likvidita a uživatelé v pozici přicházejí o vklady.
  • Žádná pojištění se na DeFi exploit nevztahuje; Fond pojištění vkladů ne, Garanční systém finančního trhu ne.
  • Audit smart contractu od reputované firmy snižuje riziko, neeliminuje ho.
  • Volba protokolu s robustním oracle (TWAP, Chainlink) je klíčové vodítko.

Upozornění (YMYL): Vystavení DeFi protokolům přináší riziko trvalé ztráty vkladu při flash loan exploitu. Tento text neposkytuje investiční poradenství.

Nezaměňovat s

Flash loan ≠ flash loan attack. Flash loan je legitimní nástroj využívaný i k arbitráži nebo refinancování pozic. Útok je jeho zneužití proti chybě protokolu.

Flash loan attack ≠ klasický hack burzy. Hack CeFi burzy obvykle míří na privátní klíče horké peněženky; flash loan attack je manipulace logiky smart contractu na blockchainu.

Flash loan attack ≠ rug pull. Rug pull je úmyslný exit scam vývojářů; flash loan attack je exploit chyby v cizím protokolu.

Kde to využiješ