Glossário

Ataque de Flash Loan (Empréstimo Relâmpago)

Moderate

Ataques de flash loan ocorrem quando agentes mal-intencionados exploram um contrato inteligente.

O que é um ataque de Flash Loan?

Ataques de flash loan são falhas nas finanças descentralizadas (DeFi) em que um contrato inteligente designado para oferecer suporte ao fornecimento de flash loan é atacado para desviar ativos armazenados em qualquer pool específico. Nesses ataques, o agente mal-intencionado abre um empréstimo, usa esse capital emprestado para comprar outros ativos com arbitragem e rapidamente paga o empréstimo, levando os ativos obtidos durante todo o processo como lucro.
É importante entender que essa exposição só pode acontecer dentro dos protocolos DeFi, pois eles são sem permissão e são totalmente executados por contratos inteligentes. Embora a falta de intermediação forneça muitos benefícios, como economia de custos e resistência à censura, não ter terceiros supervisionando a provisão de empréstimos sem garantia fornecidos por meio de contratos de empréstimo instantâneo torna as plataformas DeFi suscetíveis a tais ataques.

Esse tipo de atividade maliciosa é realmente complexa e difícil de realizar, mas, de alguma forma, há muitos casos em que os cibercriminosos tiveram sucesso nessa empreitada.

A maioria dos ataques de flash loan envolve o uso de capital emprestado para arbitragem de ativos de outros protocolos DeFi. Por exemplo, em um dos ataques do protocolo bZx, o hacker pegou um empréstimo de um contrato e imediatamente o converteu em stablecoins. Mas, como os contratos inteligentes funcionam apenas com base nos dados fornecidos a eles, eles podem ser vulneráveis a algumas explorações. O invasor aproveitou isso manipulando o preço da stablecoin, sUSD, colocando uma grande ordem de compra nela, o que ajudou a elevar o preço da stablecoin para o dobro do valor que deveria ser. A partir daí, ele fez um empréstimo maior usando os sUSD que trocou como garantia. Então, ele pagou todos esses empréstimos e levou consigo os ativos restantes como lucro.

Outro conhecido ataque de flash loan ocorreu anteriormente, na mesma plataforma. O invasor do flash loan fez um empréstimo no dYdx, que é um DApp de empréstimo, e enviou o capital desse flash loan para o Compound e o Fulcrum - no Fulcrum, o invasor vendeu o ETH contra o Wrapped Bitcoin (WBTC), ao mesmo tempo em que obteve um empréstimo no Compound de WBTC. Sem entrar muito em detalhes, quando o preço do WTBC disparou devido aos efeitos da Fulcrum adquirindo o WBTC, o algoz do flash loan lançou seu WBTC no Uniswap, fez o pagamento e escapou com o ETH restante.

Em maio de 2021, o popular agregador de farming de rendimento baseado em BNB Chain, PancakeBunny, também sofreu um ataque de flash loan. O responsável pelo flash loan obteve empréstimo de uma grande quantidade de BNB na PancakeBunny, manipulando assim seu preço contra a stablecoin de USD da Binance e os tokens Bunny - quando o hacker do flash loan jogou seu Bunny no mercado, o preço despencou.