Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Flash loan атаки: как за одну транзакцию сливают миллионы из DeFi

Flash loan — беззалоговый кредит, который берётся и возвращается в рамках одного блока: если возврат не происходит, вся транзакция откатывается. Атакующие используют мгновенную ликвидность в десятки миллионов долларов для манипуляции ценовыми оракулами и арбитража уязвимых протоколов. Риск для пользователя: потери несут не заёмщики, а поставщики ликвидности и держатели токенов атакованного протокола.

Автор: ~8 мин

Как именно работает flash loan атака технически?

Атака разворачивается в одной транзакции: злоумышленник занимает крупную сумму через Aave или dYdX, использует её для манипуляции ценой актива на DEX с низкой ликвидностью, эксплуатирует протокол, который читает цену с этого DEX как оракул, извлекает прибыль и возвращает кредит с комиссией. Всё происходит атомарно — либо вся цепочка выполняется, либо откатывается целиком. Риск: протоколы с on-chain оракулами на основе spot-цены AMM уязвимы по определению.

Источник: ERC-20 Token Approval: риски — Wordcripta

Какие реальные атаки через flash loan принесли наибольшие потери?

bZx (февраль 2020): две атаки подряд, $600 тыс. и $1 млн — первые публичные flash loan эксплойты. Pancake Bunny (май 2021): манипуляция ценой BUNNY через flash loan, потери $45 млн. Cream Finance (октябрь 2021): $130 млн через многоуровневую схему с оракулом на базе Cream LP-токенов. Euler Finance (март 2023): $197 млн — крупнейший DeFi-взлом того года, частично возвращён после переговоров с атакующим. Нюанс: большинство атак эксплуатировали уязвимость оракула, а не сам механизм flash loan.

Почему защиты протоколов не спасали от атак?

Три системные причины: во-первых, ранние протоколы использовали spot-цену AMM как оракул — её можно сдвинуть одной крупной сделкой внутри блока. Во-вторых, аудиты проверяли код контракта, но не экономическую модель взаимодействия с внешними ценами. В-третьих, сложность атак росла быстрее, чем инструментарий аудиторов: Cream Finance взломали через вложенные вызовы между несколькими протоколами одновременно. Риск смарт-контракта актуален даже для проаудированных протоколов.

Как TWAP-оракулы и Chainlink снижают риск flash loan атак?

TWAP (Time-Weighted Average Price) усредняет цену за период (обычно 30 минут — 2 часа) — сдвинуть её одной транзакцией внутри блока невозможно: нужно удерживать манипуляцию на протяжении многих блоков, что дорого и заметно. Chainlink поставляет цену с агрегированных централизованных бирж через внешних нод-операторов — on-chain манипуляция DEX-ценой на него не влияет. Нюанс: Chainlink зависит от честности операторов и может «застывать» в условиях экстремальной волатильности.

Несут ли пользователи DeFi прямые потери от flash loan атак?

Напрямую — если держат LP-токены или депозиты в атакованном протоколе. При атаке на lending-протокол (Euler, Cream) средства депозиторов могут быть полностью или частично похищены. Держатели governance-токенов атакованного протокола теряют на падении цены. Пользователи, не вовлечённые в протокол напрямую, несут косвенный риск: депег стейблкоинов, связанных с атакованным протоколом, или потеря ликвидности на парных рынках.

Источник: ERC-20 Token Approval: риски — Wordcripta

Как инвестору оценить защищённость DeFi-протокола от flash loan атак?

Четыре проверки: используется ли Chainlink или TWAP-оракул (а не spot AMM); пройден ли аудит от Trail of Bits, OpenZeppelin или Certik с охватом экономической модели; есть ли bug bounty программа с выплатами от $500 тыс.; каков TVL и как долго протокол работает без инцидентов. DeFiLlama публикует историю хаков по протоколам — это первый источник для проверки. Риск смарт-контракта не устраняется полностью никаким аудитом.

Источник: Approval Phishing Walkthrough — WalletWitness

Может ли обычный пользователь взять flash loan?

Да, технически — через интерфейсы Aave или dYdX. Но для исполнения нужно написать смарт-контракт, реализующий логику операции внутри одной транзакции. Без навыков Solidity-разработки это недоступно на практике.

Эксклюзив от ИнвестХомяка

Крупнейшие flash loan атаки: факты и потери

Протокол / датаСумма потерьВектор атаки
bZx, февраль 2020$1,6 млн (две атаки)Манипуляция spot-оракулом на Kyber Network
Pancake Bunny, май 2021$45 млнFlash loan → pump BUNNY → дамп через vault
Cream Finance, октябрь 2021$130 млнУязвимость оракула на базе Cream LP-токенов
Euler Finance, март 2023$197 млнЛогическая ошибка в функции donateToReserves

Spot-оракул AMM vs Chainlink: уязвимость к flash loan

КритерийSpot-оракул AMMChainlink / TWAP
Источник ценыТекущая цена пула DEXАгрегат CEX или средняя за период
Уязвимость к flash loanКритическая — цена сдвигается внутри блокаМинимальная — on-chain манипуляция не влияет
Задержка обновления ценыМгновенная (каждый блок)TWAP: 30 мин — 2 часа; Chainlink: секунды–минуты
Риск «застывания» при волатильностиНетЕсть у Chainlink при экстремальных движениях
Примеры использованияРанние версии Compound, bZxAave v3, Synthetix, большинство зрелых протоколов

Как проверить DeFi-протокол на устойчивость к flash loan атакам

  1. Проверьте тип оракула

    Откройте документацию протокола или исходный код на GitHub — найдите, какой оракул используется для ценообразования: Chainlink, TWAP или spot AMM. Spot AMM без усреднения — красный флаг.

  2. Изучите историю аудитов

    На странице протокола или в его GitHub найдите раздел Security/Audits. Проверьте, что аудит проводился компанией уровня Trail of Bits, OpenZeppelin, Certik или Peckshield, и что отчёт опубликован публично.

  3. Проверьте историю инцидентов на DeFiLlama

    Откройте defillama.com/hacks и найдите протокол по имени. Если протокол уже был атакован — изучите, был ли патч выпущен и верифицирован повторным аудитом.

  4. Оцените размер bug bounty

    Bug bounty от $500 тыс. и выше (Immunefi) сигнализирует о серьёзном отношении команды к безопасности. Отсутствие программы или выплаты до $10 тыс. — повод для осторожности.

  5. Диверсифицируйте депозиты между протоколами

    Не концентрируйте более 20–30% DeFi-позиции в одном протоколе вне зависимости от его репутации: риск смарт-контракта не устраняется полностью даже многократными аудитами.

Частые вопросы

Может ли обычный пользователь взять flash loan?

Да, технически — через интерфейсы Aave или dYdX. Но для исполнения нужно написать смарт-контракт, реализующий логику операции внутри одной транзакции. Без навыков Solidity-разработки это недоступно на практике.

Flash loan — это всегда атака или у него есть легальные применения?

Flash loan легален и используется для арбитража между DEX, рефинансирования позиций (замена залога без закрытия) и ликвидаций. Атакой он становится при эксплуатации уязвимости протокола. Aave и dYdX открыто предоставляют flash loan как сервис.

Страхуют ли DeFi-страховщики потери от flash loan атак?

Nexus Mutual и InsurAce покрывают «технические сбои смарт-контракта», к которым относятся и flash loan эксплойты — при условии, что протокол входит в список покрытия. Страховая премия составляет обычно 1,5–5% годовых от суммы депозита. Выплата происходит после голосования DAO, а не автоматически.

Влияет ли flash loan атака на цену ETH?

Как правило, незначительно и кратковременно. Падает токен атакованного протокола и связанные с ним активы. ETH реагирует только если атака системно крупная или затрагивает ключевую инфраструктуру (как в случае с Euler в 2023 — кратковременная просадка DeFi-сегмента).

Облагается ли доход от легального flash loan арбитража налогом в РФ?

Да. Доход от операций с криптовалютой, включая арбитраж через flash loan, облагается НДФЛ 13–15% в РФ. Налоговая база — разница между ценой продажи и приобретения актива в рублёвом эквиваленте на дату операции согласно 259-ФЗ.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники