Recentemente, voltei a ver perguntas sobre empréstimos relâmpago, então decidi falar um pouco mais sobre esse tema.

Na verdade, os empréstimos relâmpago existem no DeFi há algum tempo. Aave foi a primeira a lançar esse conceito em 2020, e depois outros protocolos de empréstimo começaram a adotá-lo. Muitas pessoas ficaram atraídas inicialmente porque ele rompe as limitações das finanças tradicionais — sem necessidade de garantias, sem verificação de crédito, é possível pegar grandes quantidades de dinheiro. Parece ótimo, mas o mecanismo por trás é bastante engenhoso.

Simplificando, o empréstimo relâmpago é um empréstimo sem garantias realizado por contratos inteligentes dentro de uma única transação de bloco. Você empresta o dinheiro, e precisa devolvê-lo antes do fim da transação; caso contrário, todo o processo é revertido automaticamente, como se nada tivesse acontecido. Por causa dessa característica atômica, o credor não corre risco algum, permitindo empréstimos sem barreiras.

Originalmente, era uma funcionalidade inovadora, útil para arbitragem, gestão de liquidez e outros usos legítimos. Mas, como você pode imaginar, algumas pessoas começaram a usar de forma maliciosa.

Uma das minhas lembranças mais marcantes são os ataques relâmpago de 2020. Um atacante pegou ETH emprestado via empréstimo relâmpago na dYdX, e depois distribuiu esse dinheiro entre as plataformas Compound e Fulcrum. Na Fulcrum, fez uma posição vendida de ETH contra WBTC, enquanto, pelo Kyber, comprou uma grande quantidade de WBTC no Uniswap. Como a liquidez de WBTC no Uniswap era baixa, essa operação elevou o preço do WBTC. Como resultado, a Fulcrum foi forçada a comprar WBTC a um preço acima do mercado, e o atacante aproveitou a diferença de preço para fazer arbitragem, pagando o empréstimo de ETH e ainda lucrando com a operação.

Outro ataque foi dirigido ao protocolo bZX, onde o atacante usou empréstimos relâmpago para comprar uma grande quantidade de sUSD na Kyber, elevando o preço da stablecoin de 1 para 2 dólares. Como os contratos inteligentes apenas olham para o preço na blockchain e não entendem o lastro real das stablecoins, o atacante usou o sUSD multiplicado por dois para pegar mais ETH emprestado e fugir com o dinheiro. Tudo isso aconteceu em um único bloco.

Vendo esses casos, muitas pessoas começaram a se preocupar se os empréstimos relâmpago poderiam se tornar uma bomba-relógio no DeFi. Mas, na prática, as soluções de defesa também estão evoluindo.

A solução mais direta é usar oráculos descentralizados. Em vez de confiar em um único DEX para o preço, é melhor agregar dados de várias fontes para obter um “preço real”. Assim, mesmo que alguém tente manipular o preço, o oráculo consegue detectar anomalias. Outra abordagem é aumentar a frequência de atualização dos preços, mantendo-os sempre atualizados e reduzindo o período em que podem ser manipulados.

Mais inteligente ainda é o método de precificação pelo preço médio ponderado no tempo (TWAP). Essa técnica usa a média de preços de vários blocos, ao invés do preço instantâneo de um único bloco, tornando muito mais caro para um atacante manipular o TWAP. Alguns protocolos até exigem que a transação atravesse dois blocos para ser concluída, o que aumenta ainda mais a dificuldade de ataque.

Claro que, à medida que os ataques relâmpago se tornam mais complexos, as defesas também evoluem continuamente. Já existem protocolos que integram ferramentas de detecção de ataques, capazes de identificar padrões de transação anormais em tempo real.

No final das contas, o DeFi ainda é uma ecologia jovem, e os empréstimos relâmpago em si não são o problema — o problema está em como projetar protocolos mais seguros. Cada ataque, na verdade, impulsiona o avanço do setor. Acredito que, com melhorias nas medidas de proteção, essa ferramenta voltará ao seu propósito original — apoiar aplicações financeiras inovadoras, e não se tornar uma máquina de saques para hackers.