Un flash loan è un prestito di criptovaluta che viene erogato e rimborsato istantaneamente. Ciò significa che un prestito di criptovaluta può essere preso in prestito e rimborsato in meno di un minuto. È un tipo di prestito DeFi che viene eseguito rapidamente - preso in prestito e restituito in rapida successione - senza la necessità di garanzie, reso possibili grazie al modo in cui i dati sono registrati sulla blockchain di Ethereum. Se il capitale e gli interessi non vengono rimborsati entro una transazione Ethereum, il flash loan viene revocato.

Non c'è alcun ritardo tra il prestito e la restituzione dei fondi poiché tutto viene gestito in modo sincrono. La componibilità atomica è quindi necessaria per il funzionamento dei flash loan, in quanto tutto deve risolversi o fallire allo stesso tempo. I flash loan non richiedono garanzie perché non c'è rischio di credito o di controparte. Di conseguenza, i flash loan sono estremamente efficienti dal punto di vista del capitale, poiché offrono un'elevata quantità di leva finanziaria. Questo tipo di efficienza del capitale è raggiungibile solo nella DeFi e non nei mercati finanziari regolari. I flash loan sono spesso finanziati attraverso protocolli di prestito, come Aave o CREAM, che forniscono prestiti a transazione singola come funzione che permette di combinarli con altre dApp, come Uniswap o Sushiswap. Anche se le transazioni sono rapide, i flash loan non sono al sicuro dagli exploit, di solito si usa il termine flash loan attack per indicare tipo di attacco DeFi in cui un attore ostile ottiene un flash loan attraverso un lending protocol e manipola il mercato a suo favore utilizzando diversi tipi di tecniche black-hat. Le forme più popolari di attacchi DeFi sono gli attacchi flash loan, che sono i più economici da realizzare e i più semplici da portare a termine. Con un flash loan, un utente può prendere in prestito quanto vuole senza alcun costo iniziale. Ad esempio si possono prendere in prestito 50.000 dollari in ETH, per esempio, un lending protocol te li fornirà istantaneamente, ma questo non implica che siano tuoi. Devi fare qualcosa con i fondi presi in prestito per ripagare il debito e forse intascare i fondi rimanenti. Perché questo funzioni, la procedura deve essere veloce, e il debito deve essere pagato al protocollo prontamente, altrimenti la transazione sarà annullata. Poiché l'impegno a pagare il prestito è imposto da una blockchain, un prestatore decentralizzato non richiede garanzie da voi. Gli attaccanti dei flash loan si basano sull'ideazione di nuovi modi per distorcere il mercato, pur aderendo alle leggi della blockchain.

Alcuni esempi popolari di attacchi di flash loan sono l'attacco di PancakeBunny, l'hack del protocollo Alpha Homora, l'attacco di flash loan dell'aggregatore DeFi yield farming ApeRocket e molti altri. Per evitare tali attacchi, invece di dipendere da un singolo DEX per la sua alimentazione dei prezzi, le piattaforme DeFi potrebbero sfruttare oracoli di prezzi decentralizzati come Chainklink e Band Protocol per diminuire il vettore di attacco per gli attacchi di flash loan. Il ritardo nei tempi di reazione da parte dei creatori di piattaforme DeFi è uno degli aspetti più importanti che permettono agli sfruttatori di farla franca con gli assalti ai flash loan. Per evitare che questo accada, si dovrebbero usare strumenti automatizzati. OpenZeppelin Defender, una tecnologia che permette ai project manager di identificare le vulnerabilità dei contratti intelligenti e altri comportamenti strani, permettendo loro di rispondere rapidamente e neutralizzare le minacce.