Qu'est-ce qu'un prêt flash ?

Découvrez ce que sont les prêts flash ou les prêts flash, un puissant utilitaire des protocoles DeFi qui vous permet d'opérer avec des prêts non garantis afin de tirer parti de vos positions pour l'arbitrage, le commerce et d'autres opérations financières au sein de l'immense écosystème DeFi.

LL'arrivée de DeFi ou de protocoles de financement décentralisés a permis une énorme flexibilité dans l'accès au crédit par les personnes qui participent au monde de la cryptographie.

On peut voir la preuve de cette flexibilité dans les prêts flash ou les prêts (ultra) rapides. Grâce à cela, les utilisateurs DeFi peuvent accéder aux prêts de crypto-monnaie très rapidement et sans avoir besoin de fournir de garantie pour cela. Oui, vous avez bien lu, un prêt crypto sans garanties, et tout cela grâce à sa façon de fonctionner.

Qu'est-ce qu'un prêt flash ?

Un prêt flash ou prêt flash n'est rien de plus qu'un prêt programmé sur une Protocole DeFi, capable de proposer une mise à disposition de fonds aux utilisateurs sans qu'ils aient besoin de fournir une garantie (ni en crypto-monnaies, ni d'aucune sorte) pour les fonds qui leur sont prêtés. Le protocole DeFi permet à l'utilisateur d'accéder à certains fonds afin qu'il puisse les utiliser et les restituer au protocole dans la même opération, y compris les commissions correspondantes.

En blockchain c'est possible, car il y a la possibilité de programmer une transaction pour qu'elle emprunte des fonds, les mobilise pour différents contrats intelligents d'autres protocoles, les opérations de change correspondantes sont effectuées et, à l'issue de cette même transaction, l'argent du prêt et ses commissions sont réintégrés dans le protocole initial tandis que l'utilisateur se retire avec ses gains.

La chose importante à noter est que tout se fait en une seule opération, instantanément, et tout est enregistré dans le même bloc de la blockchain où il est enregistré.
Cette idée est née grâce au projet AAVE, qui ont conçu cette fonction afin de permettre à leurs utilisateurs d'accéder à la liquidité du protocole pour effectuer des opérations rapides. De cette façon, l'utilisation de ces opérations rapides est encouragée, ce qui leur a essentiellement permis de faire deux choses :

1. Maintenir la liquidité dans votre protocole pour les opérations régulières de votre protocole (prêts et échanges).
2. Autoriser un nouveau modèle de prêts rapides, qui n'affecte pas la liquidité réelle de son protocole DeFi.

Comment fonctionne un Prêt Flash ?

Maintenant, Comment est-il possible pour AAVE d'atteindre les deux points avec des prêts flash ? Eh bien, le premier cas est facile à comprendre.

Pensez que chaque fois qu'un fournisseur de liquidité entre des jetons dans le protocole AAVE, ce pool auquel il participe augmente sa liquidité (par exemple, en ajoutant ETH/USDT à AAVE). Lorsque le LP effectue cette opération, nous pouvons rapidement voir une transaction qui ajoute les deux jetons au pool AAVE réservé à cette paire de jetons. Ces jetons sont désormais au pouvoir du contrat intelligent AAVE et sont gérés de manière autonome par le pool. Ainsi, le premier point est rempli, et c'est quelque chose dont nous sommes clairs.

Cependant, pour le deuxième point, les développeurs appliquent un peu de triche. Dans la blockchain, il y a un point spécial pendant tout le processus de création et de confirmation de la transaction qui est effectuée, on parle du temps de confirmation au sein du réseau. A ce moment, la transaction est dans un état "incohérent", dans lequel l'opération semble être effectuée (elle a été créée et a été délivrée au réseau) et, en même temps, elle n'est pas confirmée (le consensus n'a pas été contacté pour savoir si la transaction est correcte ou non et, par conséquent, n'a pas encore été incluse dans un bloc). En d'autres termes, les nœuds du réseau voient la transaction et peuvent même signaler le solde du compte dans les portefeuilles d'origine et de destination, même s'il n'y a pas de confirmation.

Ce dernier n'est pas rare, si vous avez déjà effectué une opération avec BTC, vous aurez sûrement effectué une transaction et vous verrez le solde reflété dans votre portefeuille, mais certains portefeuilles ne vous permettent pas d'avoir cet argent tant qu'il n'est pas confirmé par le réseau. C'est de l'argent qui "est" et, en même temps, "n'est pas", il suffit d'attendre qu'il soit confirmé, et cet événement se produit dans tous les réseaux blockchain. C'est précisément cet état où commence le "piège" qui permet d'exécuter des prêts flash.

Exécution du Prêt Flash

Lors d'un prêt flash, le protocole DeFi qui rend le prêt permet à l'argent de "sortir" entre les mains de l'emprunteur, qui utilisera ces fonds pour une série d'opérations avec lesquelles il cherche à obtenir un certain bénéfice.

Généralement, l'emprunteur utilise cet argent pour effectuer des échanges dans d'autres protocoles qui lui permettront au final d'obtenir les avantages souhaités, de récupérer l'argent du prêt et de payer les commissions nécessaires pour l'ensemble des opérations effectuées. Tout cela en une seule transaction, profitant de ce peu de temps que le temps de confirmation et le statut fournissent «inconsistant» dans lequel les protocoles impliqués «voir le flux d'argent» à leurs pools respectifs. Au final, lorsque la transaction est incluse dans un bloc et que son calcul commence, alors toute la programmation de la transaction est lue et exécutée, après quoi ce qui suit se produit :

1. Le prêt flash est créé et l'emprunteur dispose des jetons, qui proviennent des pools de protocoles.
2. Les opérations intermédiaires demandées par l'emprunteur sont exécutées, les commissions sont payées, l'argent du prêt et les bénéfices obtenus sont récupérés.
3. Enfin, le prêt est remboursé et les commissions sont versées, tandis que l'utilisateur retire ses gains à son adresse personnelle.

De cette façon, le prêt flash remplit sa mission : vous prêter de l'argent qui n'est jamais sous votre contrôle absolu, mais qui est utilisé par d'autres protocoles pour garantir vos opérations car, en ce qui concerne la blockchain, vous avez les fonds et la transaction le prouve. L'idée des prêts flash est très similaire aux garanties de crédit de la finance traditionnelle, puisque l'argent n'est pas vraiment entre vos mains mais dans celles d'un tiers (le protocole DeFi).

Cependant, malgré l'énorme utilité que cet outil offre, les protocoles DeFi font face à un énorme problème : le Flash Loan Attack, une attaque par laquelle un acteur malveillant est capable de manipuler le prêt accordé pour conserver une énorme somme d'argent.

Comment fonctionne une Flash Loan Attack ?

Désormais, les protocoles DeFi ne sont pas infaillibles, car des contrats intelligents complexes sont impliqués dans tout cela et peuvent contenir des failles. Bien que la technologie blockchain soit très sécurisée, les bugs ne font pas exception puisque, finalement, ce sont des logiciels et à ce titre présentent des imperfections qui peuvent être plus ou moins flagrantes. Les attaquants profitent de ce point pour mener une Flash Loan Attack sur ces protocoles.

Généralement, les Flash Loan Attacks sont utilisées pour exploiter les vulnérabilités détectées dans les protocoles afin de profiter du capital du prêt, afin de soustraire de grosses sommes d'argent au protocole attaqué.

Par exemple, un attaquant peut se rendre sur AAVE pour demander un prêt flash et l'utiliser pour attaquer un protocole tel que Balancer. Cela est possible, car notre attaquant a détecté une vulnérabilité dans le système qui calcule les récompenses du pool Balancer, et avec cette connaissance, le pirate peut utiliser cette faiblesse pour réaliser d'énormes profits. Ainsi, le pirate demande le prêt flash, effectue les opérations pour exploiter la faille de Balancer, rembourse le paiement à AAVE et se retire avec les bénéfices qu'il a subrepticement volés à Balancer. Résultat? Notre hacker prend vos bénéfices, AAVE récupère votre argent et vos commissions, mais Balancer et leurs LPs prennent un coup à leur flux de trésorerie.

Cependant, les attaques Flash Loans peuvent présenter plusieurs vecteurs d'attaque, car ceux-ci dépendent de la programmation du protocole attaqué. C'est quelque chose qui nécessite d'énormes connaissances techniques de la part de l'attaquant, non seulement une connaissance de la programmation de contrats intelligents, mais également une connaissance de la plate-forme blockchain sur laquelle ces contrats intelligents s'exécutent. Pour cette raison, les attaques de prêts flash sont assez complexes à réaliser, mais il en va de même pour les éviter, de sorte que les développeurs auditent et améliorent constamment les contrats pour éviter ces problèmes.

Attaques connues de Big Flash Loans

Certaines des plus grandes attaques connues sont les suivantes :

1. Réseau Poly, l'attaque a été menée en août 2021 et l'attaquant a réussi à voler la somme de 611 millions de dollars au pool. Le vecteur utilisé était une attaque de prêt flash qui a profité d'une faille dans le proxy cross-chain Ethereum-BSC-Polygon et à travers laquelle le montant susmentionné a été soustrait.
2. Crème Finance, En octobre 2021, un attaquant a effectué une attaque de prêt flash pour exploiter une vulnérabilité dans une fonction qui contrôlait le système de tarification des jetons attribué au sous-système de prêt flash de la plateforme. Résultat? La perte de 140 millions de dollars.
3. CrêpeLapin: En mai 2021, un bogue dans les calculs du prix du jeton BUNNY a été exploité et, par conséquent, l'attaquant a réussi à gagner 45 millions de dollars.
4. AlphaFinance : L'attaque a été menée en février 2021. Pour ce faire, l'attaquant a demandé un prêt flash à AAVE et, connaissant une vulnérabilité dans le système d'arrondi du pool et un pool de développement (sUSD), a utilisé les deux failles pour manipuler les prix au sein d'Alpha Finance et saisir 37,5 millions de dollars.

Dans tous les cas, ce ne sont là que quelques-unes des attaques les plus importantes et les plus connues. Dans le monde DeFi, il y en a beaucoup et un espace recommandé pour se tenir au courant est Rekt. Rappelez-vous toujours que DeFi est un monde d'opportunités, mais il y a des risques, gardez-les à l'esprit, apprenez et planifiez vos stratégies pour vous en protéger.