En finance décentralisée, un flash loan ou prêt instantané est un prêt contracté puis remboursé dans la même transaction.
Ce type d'emprunt est possible car les transactions blockchain sont programmables. Il est donc possible de garantir que le remboursement et le paiement des frais seront réglés au sein de la même transaction :
- Si le prêt est remboursé intégralement (avec des intérêts) avant la fin de la transaction, il est validé.
- Si ce n'est pas le cas, la transaction est annulée dans son intégralité (rollback), comme si rien ne s'était passé.
Les flash loans sont uniques à la DeFi, et tirent parti des transactions complexes reposant sur des smart contracts.
Avantages et caractéristiques d'un flash loan
Les prêts instantanés sont très populaires, car ils garantissent au prêteur la restitution de ses fonds.
- Aucun collatéral n'est requis pour effectuer un emprunt (contrairement aux emprunts classiques en DeFi) :
- L'emprunt est à très court terme, limité à la durée d'une transaction (quelques secondes sur Ethereum) :
- Ils sont accessibles à tous, à condition de savoir coder un smart contract, ou d'utiliser un outil dédié.
Les flash loans sont des instruments financiers puissants, mais ils présentent cependant des risques. Plusieurs hackers ont tiré parti de ce mécanisme pour drainer les liquidités de certains protocoles DeFi mal programmés.
Fonctionnement d'un flash loan
Au niveau technique, un flash loan est une série d'opérations financières, réalisée au sein du même bloc de transactions. Prêteurs et emprunteurs sont en relation grâce à un protocole de lending. Par exemple, on peut effectuer des flash loans auprès des réserves de liquidité du protocole Aave.
Tout d'abord, l'utilisateur réclame des fonds. Cette somme peut être énorme, en fonction des réserves de liquidité du protocole, et peut représenter plusieurs millions.
Lors de la transaction, il peut réaliser différentes opérations financières, qui sont programmées au sein d'un smart contract :
- Arbitrage : acheter bas sur un DEX, et revendre plus haut sur un autre pour empocher la différence ;
- Echange de collatéraux en différents jetons (swap) ;
- Liquidation de positions sur les protocoles de lending ;
- Stratégies de trading complexes.
Le smart contract inclut donc aussi l'étape du remboursement. Il certifie que le montant emprunté assorti des intérêts sera envoyé au prêteur avant la fin du bloc.
Enfin, avant l'exécution du flash loan, le protocole de prêt effectue des vérifications. Il s'assure que toutes les conditions de remboursement sont remplies, quelle que soit l'issue des opérations programmées via le contrat. Si ce n'est pas le cas, la transaction ne sera jamais exécutée.
Exemple classique : l'arbitrage
Un utilisateur DeFi spécialisé dans l'arbitrage entre protocoles d'échange décentralisés (DEX) remarque un jeton X, coté à 100 $ sur Uniswap, et à 101 $ sur SushiSwap.
Grâce à un flash loan, il emprunte 1 million d'USDC sur Aave. Ensuite, il achète le jeton X sur Uniswap, et les revend instantanément sur SushiSwap. Grâce à cette opération, il empoche 10 000 dollars. Il rembourse alors l'emprunt assorti des intérêts, au sein du même bloc Ethereum. Une fois la série de transactions réalisée, il empoche : 10 000 USDC - (les intérêts + les frais de transaction totaux de ses opérations).
for Fun and Profit - Kaihua Qin, Liyi Zhou, Benjamin Livshits, Arthur Gervais
Les attaques au prêt instantané
Dans un monde idéal, les prêteurs ne courent aucun risque, car le remboursement est garanti. Cependant, les pirates peuvent utiliser plusieurs vecteurs d'attaque pour dérober des fonds grâce au flash loans : le slippage (glissement du prix) et les oracles de prix. Les oracles sont des smart contracts qui fournissent à un protocole des données externes à la blockchain. On les utilise notamment pour donner le prix d'un actif sur telle ou telle plateforme.
Exemple
L'idée des attaquants est la suivante : manipuler les prix d'un actif pour emprunter beaucoup plus que ce qu'ils ne remboursent. Citons par exemple la célèbre attaque sur bZx en février 2020 :
- L'attaquant contracte un flash loan de 7500 ETH sur bZx. Le prix de l'ETH est d'environ 173 dollars. La plateforme bZx utilise comme oracle de prix pour l'ETH les DEX Uniswap et Kyber.
- Il utilise alors son flash loan pour manipuler les prix de l'ETH sur les deux exchanges (Uniswap et Kyber). Pour ce faire, il échange 540 ETH contre 92 420 sUSD (le stablecoin adossé au dollar de Synthetix) sur Uniswap, et 360 ETH contre 63 584 sUSD sur Kyber. Cette opération entraine un fort slippage sur les deux plateformes : le prix de l'ETH passe ainsi à 107 sUSD.
- Ensuite, il emprunte des stablecoins sur un quatrième protocole, Synthetix. Il dépose 3518 ETH pour emprunter 1 099 841 sUSD.
- Grâce à ces sUSD, il emprunte à nouveau des ETH, mais cette fois-ci sur bZx, où le prix vient d'être manipulé. Son collatéral doit représenter au minimum 150 % de la quantité d'ETH empruntés. Il emprunte donc 6799 ETH.
- Grâce à la manipulation des prix, il peut rembourser les 7500 ETH empruntés, et générer un revenu de 2381 ETH.
for Fun and Profit - Kaihua Qin, Liyi Zhou, Benjamin Livshits, Arthur Gervais
Historique des attaques au flash loan
Dès l'apparition des prêts instantanés, les pirates ont su profiter des faiblesses de certains protocoles DeFi pour générer des profits grâce à la manipulation de prix. En 2024-2025, les attaques flash loan représentent leur source de profits la plus importante.
| Année | Protocole | Perte estimée | Mécanisme principal |
|---|---|---|---|
| 2020 | bZx | quelques M$ | Flash loan + manipulation de l'oracle (spot) |
| 2020 | Harvest Finance | ~ 24 M $ | Flash loan + manipulation des prix via Curve pool |
| 2021 | PancakeBunny | ~ 45 M $ | Manipulation du prix spot de l'AMM + mint frauduleux |
| 2021 | Cream Finance | ~ 130 M $ | Flash loan + abus du vault Yearn yUSD |
| 2022 | Inverse Finance | ~ 1–2 M $ | Manipulation d'oracle via WBTC swap |
| 2022 | DEUS Finance | ~ 13 M $ | Manipulation d'oracle + collatéral |
| 2022 | Mango Markets | ~ 117 M $ | Manipulation d'oracle pour les liquidations |
| 2024 | Mountain Protocol | ~200 k $ profit | Abus du vault via flash loan |
| 2024–2025 | Polter Finance | ~12 M $ | Manipulation d'oracle via les DEX |
Mitigation des attaques
Fort heureusement, plusieurs techniques permettent d'éviter ces attaques :
- Utilisation d'oracles décentralisés robustes comme Chainlink ;
- Oracles utilisant un TWAP (le prix donné par l'oracle est une moyenne sur plusieurs périodes temporelles) :
- Mise en place de plafonds de volatilité pour éviter les sauts de prix irréalistes causés par des flash loans.
Les prêts instantanés en pratique
Dans la pratique, les prêts instantanés restent un instrument financier destiné aux utilisateurs chevronnés de la DeFi. Ils sont principalement utiles pour des activités financières professionnelles, comme l'arbitrage, la liquidation de collatéral pour des protocoles tiers, le trading sur marge, etc.
Les principales plateformes de lending DeFi permettent de contracter des flash loans :
- Aave : a introduit les flash loans dès 2020. Les prêts sont possibles sur tous les actifs listés (ETH, USDC, DAI, WBTC, etc.). Quant aux frais, ils sont en général 0,09 % du montant emprunté. API + SDK faciles à intégrer.
- dYdX : basé sur le trading à effet de levier et les prêts instantanés. Le DEX est moins populaire qu'Aave pour les flash loans, mais souvent utilisé pour des arbitrages complexes.
- Uniswap v2 et v3 : permettent des flash swaps, très utilisés pour l’arbitrage cross-DEX.
- Balancer supporte les flash loans sur ses pools de liquidité, et permet de créer des stratégies d’arbitrage et de swap de collatéraux.
En pratique, Aave et Uniswap sont les deux plateformes les plus utilisées pour les « vrais » flash loans / flash swaps.
Outils pour faire un flash loan sans coder en Solidity
Créer un smart contract de flash loan from scratch en Solidity est assez technique. Heureusement, il existe des solutions no-code / low-code pour les développeurs non spécialisés :
- Furucombo : interface drag & drop. L'utilisateur construit son « cube », un enchaînement de transactions : flash loan, swap sur Uniswap, revente sur Sushiswap, remboursement. Nul besoin de coder : l’outil compile et envoie la transaction.
- DeFi Saver : outil orienté gestion de collatéraux sur Maker/Aave/Compound. Il supporte certains flash loans (ex. pour refinancer automatiquement un prêt). Interface simple, pas de Solidity requis.
- InstaDapp : dashboard DeFi très avancé. Il permet d’utiliser des flash loans pour le refinancement entre protocoles (Aave ↔ Maker ↔ Compound). Il suffit de cliquer, et le smart contract proxy gère tout.
Pour les plus motivés qui ne sont pas développeurs, il existe des templates open-source de flash loan (par exemple sur GitHub). Avec Remix IDE ou ETH.build, on peut alors déployer un smart contract en copiant/collant, sans écrire soi-même la logique.
Conclusion
Les flash loans ne sont pas du trading gratuit : il faut une stratégie rentable et rapide pour en profiter (arbitrage, liquidation, migration de collatéral, etc.). Les outils no-code (Furucombo, DeFi Saver, InstaDapp) sont excellents pour expérimenter sans coder, mais les vraies stratégies profitables sont souvent construites sur mesure en Solidity.
Pour aller plus loin :
- Notre article encyclopédique sur les protocoles de lending : Le lending, prêter et emprunter des cryptomonnaies sans intermédiaire
- Exemples de stratégies : Le yield farming, optimiser ses rendements en cryptomonnaies
