Un flash loan est une primitive DeFi : emprunter n'importe quel montant de capital sans collatéral, à condition de rembourser (avec une petite fee) dans la même transaction atomique. Si la transaction ne rembourse pas, elle revert entièrement et aucun fonds ne change de main.
Les flash loans ne sont pas en eux-mêmes une vulnérabilité. C'est une feature des marchés de capitaux permissionless. Mais ils abaissent dramatiquement la barre pour exploiter d'autres vulnérabilités : un attaquant qui trouve une faille de manipulation de prix n'a pas besoin de détenir le capital pour l'exécuter. Il l'emprunte, exploite, rembourse, tout dans un bloc.
Presque tous les exploits DeFi majeurs depuis 2020 ont utilisé des flash loans. Le pattern : emprunter → manipuler un oracle ou une pool → drainer un protocole cible → rembourser → garder la différence.
Les défenses se font au niveau du protocole cible, pas du pool de prêt :
- Utilisez des oracles TWAP plutôt que des prix spot pour toute logique sensible à la valeur.
- Plafonnez les actions sur un seul bloc (pas de drain complet d'une position en une transaction).
- Testez les invariants sous conditions de flash loan, pas seulement en usage normal.