Recentemente, estou estudando questões de segurança em DeFi e descobri que o empréstimo relâmpago é realmente uma espada de dois gumes.

Falando de empréstimo relâmpago, na verdade é um conceito relativamente novo dentro das finanças descentralizadas, e após o lançamento inicial do Aave no começo de 2020, cada vez mais protocolos começaram a suportar essa funcionalidade. À primeira vista, os empréstimos relâmpago oferecem oportunidades de arbitragem e transações rápidas que o sistema financeiro tradicional não consegue proporcionar, parece ótimo.

Mas a questão-chave é que esse tipo de empréstimo sem garantia e sem verificação de crédito também se tornou um terreno fértil para ataques. Vi alguns casos clássicos de ataques, sendo o mais interessante aquele ocorrido em 2020. O atacante conseguiu pegar uma grande quantidade de ETH via empréstimo relâmpago na dYdX, depois enviou para Compound e Fulcrum, e usou DEXs como Kyber e Uniswap para manipular o preço do WBTC. Como a liquidez do Uniswap era relativamente baixa, uma grande ordem elevou o preço diretamente, forçando o Fulcrum a comprar WBTC a um custo muito superior ao valor de mercado. O atacante realizou toda a operação dentro de uma única transação, e ao momento da liquidação já tinha lucrado.

Há também outro caso, onde alguém usou um empréstimo relâmpago para manipular o preço do sUSD até US$2 (quando deveria estar atrelado a US$1), e assim, com uma garantia inflada, tomou emprestado mais ETH. O problema está aqui — os contratos inteligentes podem reconhecer dados de preço, mas não entendem o valor que uma stablecoin deveria manter como âncora.

Então, como prevenir? Acredito que o núcleo da questão ainda é resolver o problema de precificação.

Primeiro, usar oráculos descentralizados é a abordagem mais segura. Não depender de uma única fonte de preço, mas agregar “preços reais” de múltiplas fontes. Assim, mesmo que alguém tente manipular o preço com uma grande ordem, o oráculo consegue resistir. Porque toda a sequência de ataque precisa ser concluída dentro de um mesmo bloco, mas o mecanismo de submissão de dados de oráculos descentralizados torna isso quase impossível.

Em segundo lugar, é possível aumentar a frequência de atualização de preços. Pools de liquidez consultam preços mais frequentemente, reduzindo bastante a janela de manipulação de preços. Embora isso possa ter custos mais altos na prática, a melhora na segurança vale a pena.

Outra técnica é a média ponderada no tempo (TWAP), que não usa o preço de um único momento, mas calcula uma média de vários blocos. Como os ataques de empréstimo relâmpago precisam ser concluídos dentro de um bloco, é impossível manipular o preço médio ao longo de múltiplos blocos.

Alguns protocolos até integram ferramentas de detecção de ataques, capazes de identificar padrões de transações anômalas em tempo real. Embora a eficácia dessas ferramentas ainda precise de mais testes práticos, a ideia é correta.

Sinceramente, o espaço DeFi ainda está evoluindo rapidamente, e após cada ataque de empréstimo relâmpago, todo o ecossistema aprende e aprimora seus mecanismos de defesa. Acredito que, com a adoção crescente de oráculos descentralizados e estratégias de precificação mais inovadoras, os empréstimos relâmpago deixarão de ser uma “ferramenta de ataque” e voltarão ao seu propósito original — oferecer funcionalidades financeiras inovadoras, e não uma fonte de riscos.