Recentemente estou a estudar questões de segurança em DeFi, e descobri que o empréstimo relâmpago é realmente uma espada de dois gumes.

Falando de empréstimos relâmpago, na verdade é um conceito relativamente novo no financiamento descentralizado, e desde que a Aave o lançou pela primeira vez no início de 2020, cada vez mais protocolos começaram a suportá-lo. À primeira vista, os empréstimos relâmpago oferecem oportunidades de arbitragem e transações rápidas que o financiamento tradicional não consegue proporcionar, parece ótimo.

Mas a questão-chave é que este método de empréstimo sem garantias e sem verificação de crédito também se tornou um terreno fértil para ataques. Vi alguns casos clássicos de ataques, sendo o mais interessante aquele de 2020. O atacante conseguiu uma grande quantidade de ETH via empréstimo relâmpago na dYdX, depois enviou-os separadamente para o Compound e Fulcrum, e usou DEXs como Kyber e Uniswap para manipular o preço do WBTC. Como a liquidez do Uniswap era relativamente baixa, uma grande ordem elevou o preço diretamente, fazendo com que o Fulcrum fosse forçado a comprar WBTC a um custo muito superior ao preço de mercado. O atacante completou toda a operação na mesma transação, e quando ocorreu a liquidação, já tinha lucrado.

Há também outro caso, onde alguém usou um empréstimo relâmpago para manipular o preço do sUSD até 2 dólares (quando deveria estar atrelado a 1 dólar), e depois usou essa valorização fictícia como garantia para emprestar mais ETH. Veja, o problema está aqui — os contratos inteligentes podem reconhecer dados de preço, mas não entendem o valor que as stablecoins deveriam manter.

Então, como prevenir? Acho que a solução central ainda passa por resolver o problema de precificação.

Primeiro, usar oráculos descentralizados é a abordagem mais segura. Não confiar em uma única fonte de preço, mas agregar “preços reais” de múltiplas fontes. Assim, mesmo que alguém tente manipular o preço com uma grande ordem, o oráculo consegue resistir. Porque toda a sequência de ataque precisa ser concluída dentro do mesmo bloco, mas o mecanismo de submissão de dados de oráculos descentralizados torna isso quase impossível.

Em segundo lugar, pode-se aumentar a frequência de atualização dos preços. Pools de liquidez consultam preços mais frequentemente, reduzindo bastante a janela de manipulação de preços. Embora isso possa ter custos mais elevados na prática, o aumento da segurança vale a pena.

Outra técnica é a média ponderada no tempo (TWAP), que não usa o preço de um único momento, mas calcula uma média de vários blocos. Como os ataques de empréstimo relâmpago precisam ser concluídos em um único bloco, é impossível manipular a média de preços ao longo de múltiplos blocos.

Alguns protocolos até integram ferramentas de detecção de ataques, capazes de identificar padrões de transação anormais em tempo real. Embora a eficácia dessas ferramentas ainda precise de mais testes práticos, a ideia é correta.

Honestamente, o campo de DeFi ainda está evoluindo rapidamente, e após cada ataque de empréstimo relâmpago, todo o ecossistema aprende e aprimora seus mecanismos de defesa. Acredito que, com a adoção crescente de oráculos descentralizados e estratégias de precificação mais inovadoras, os empréstimos relâmpago passarão de uma “ferramenta de ataque” para seu uso original — oferecer funções financeiras inovadoras, e não uma fonte de riscos.