Flash Loan: Millionen-Kredit in einer Sekunde
Wie Flash Loans funktionieren, warum sie DeFi revolutionieren und welche Angriffe sie ermöglichen
Definition
Ein Flash Loan ist ein unbesicherter DeFi-Kredit, der innerhalb derselben Blockchain-Transaktion aufgenommen und vollständig zurückgezahlt werden muss.
Ein Flash Loan ist ein unbesicherter Kredit, der innerhalb einer einzigen Blockchain-Transaktion aufgenommen und zurückgezahlt werden muss. Wenn die Rückzahlung am Ende der Transaktion nicht erfolgt, wird die gesamte Transaktion rückgängig gemacht (revert), als wäre sie nie passiert. Dieses Konzept ist nur auf einer Blockchain möglich, weil Transaktionen atomar sind: Entweder gelingt alles oder nichts. Aave führte Flash Loans im Januar 2020 ein, seitdem wurden über Aave allein geschätzt über 200 Milliarden USD an Flash Loans vergeben. Das Werkzeug ist gleichzeitig eine der innovativsten Erfindungen in DeFi und eines der häufigsten Angriffsvektoren.
Wie ein Flash Loan technisch funktioniert
Der Ablauf passt in eine einzige Transaktion, die typischerweise 10 bis 30 Sekunden dauert. Schritt eins: Du leihst dir Token aus einem Lending Pool (z.B. 10 Millionen USDC von Aave). Schritt zwei: Dein Smart Contract führt eine beliebige Strategie aus, etwa Arbitrage zwischen zwei DEXs. Schritt drei: Am Ende der Transaktion zahlst du den geliehenen Betrag plus Gebühr zurück. Aave berechnet 0,05 % (gesenkt von 0,09 % in V2), Balancer und dYdX verlangen 0 %. Kann dein Contract den Betrag nicht zurückzahlen, wird die gesamte Transaktion verworfen, der Lending Pool verliert nichts, und du verlierst nur die Gas-Gebühr.
Die theoretisch verfügbare Summe ist nur durch die Liquidität im Pool begrenzt. Bei Aave V3 mit einem TVL von 25 bis 30 Milliarden USD über alle Chains können einzelne Flash Loans mehrere hundert Millionen USD umfassen.
Legitime Anwendungen: Warum Flash Loans nützlich sind
Rund 95 % aller Flash Loans werden für legitime Zwecke genutzt, nicht für Angriffe. Die häufigste Anwendung ist Arbitrage: Preisunterschiede zwischen DEXs ausnutzen, ohne eigenes Kapital zu binden. Ein Trader sieht, dass ETH auf Uniswap 0,5 % günstiger ist als auf SushiSwap, leiht sich per Flash Loan 1 Million USDC, kauft auf Uniswap, verkauft auf SushiSwap, zahlt den Loan zurück und behält den Gewinn. Weitere Anwendungen: Collateral Swap (z.B. ETH-Sicherheit in Aave durch WBTC ersetzen, ohne die Position zu schließen), Selbst-Liquidierung (eigene unterbesicherte Position günstiger liquidieren als durch Dritte, spart die 5 bis 15 % Liquidations-Penalty) und Yield-Farming-Optimierung (Leverage-Positionen in einer Transaktion aufbauen).
Flash-Loan-Angriffe: Die dunkle Seite
Flash Loans ermöglichen Angriffe, die ohne kostenloses Kapital unmöglich wären. Das typische Muster: Millionen per Flash Loan leihen, damit den Preis eines Tokens auf einer DEX manipulieren, ein Zielprotokoll ausnutzen, das diese DEX als Preis-Oracle nutzt, und mit dem Gewinn den Loan zurückzahlen.
| Datum | Protokoll | Verlust | Details |
|---|---|---|---|
| Feb 2020 | bZx | ~1 Mio. USD | Erster bekannter Flash-Loan-Angriff |
| Okt 2020 | Harvest Finance | 34 Mio. USD | Curve-Pool-Preismanipulation |
| Okt 2021 | Cream Finance | 130 Mio. USD | Oracle-Manipulation, dritter Cream-Hack |
| Apr 2022 | Beanstalk | 182 Mio. USD | Governance-Angriff: Tokens geliehen, abgestimmt, ausgeführt |
| Mär 2023 | Euler Finance | 197 Mio. USD | Größter Angriff, Hacker gab alles zurück nach Verhandlungen |
| Apr 2024 | Hedgey Finance | 44 Mio. USD | Flash Loan + Claim-Bug-Kombination |
Der Euler-Finance-Fall ist besonders lehrreich: 197 Millionen USD gestohlen, der bis dato größte Flash-Loan-Exploit. Doch nach Wochen der Verhandlungen und On-Chain-Nachrichten gab der Angreifer das gesamte Geld zurück. Euler belohnte ihn nicht, verzichtete aber auf Strafverfolgung.
Schutzmaßnahmen gegen Flash-Loan-Angriffe
Das Grundproblem: Protokolle, die On-Chain-Spot-Preise als Oracle nutzen, sind anfällig, weil Flash Loans den Preis in einer Transaktion verschieben können. Die Lösung sind TWAP-Oracles (Time-Weighted Average Price), die Preise über mehrere Blöcke mitteln und sich nicht in einer einzigen Transaktion manipulieren lassen. Chainlink-Oracles sind ebenfalls resistent, weil sie Off-Chain-Daten von mehreren Quellen aggregieren. Weitere Maßnahmen: Multi-Block-Bestätigung (Preise müssen über mehrere Blöcke stabil sein), Flash-Loan-Detection (prüfen, ob in der gleichen Transaktion ein Flash Loan aktiv ist) und Governance-Timelocks, die verhindern, dass geliehene Token sofort für Abstimmungen genutzt werden können.
Flash Loans in der Praxis: Protokolle und Gebühren
Aave ist mit Abstand der größte Flash-Loan-Anbieter (geschätzt 70 bis 80 % des Marktes). Die Gebühr von 0,05 % ist minimal: Bei einem 10-Millionen-USD-Loan zahlst du 5.000 USD. dYdX und Balancer bieten Flash Loans kostenlos an, haben aber weniger Liquidität. MakerDAO ermöglicht das Flash Minting von DAI bis zur Schuldendecke, ebenfalls kostenlos. Der EIP-3156-Standard (seit 2021) hat ein einheitliches Flash-Loan-Interface definiert, das Sicherheitsaudits erleichtert und die Integration in neue Protokolle standardisiert.
Flash Loans sind ein Power-Tool für DeFi-Entwickler, nicht für Endnutzer. Wenn du ein Protokoll nutzt, prüfe, ob es Chainlink oder TWAP-Oracles verwendet statt On-Chain-Spot-Preise. Protokolle mit Spot-Preis-Oracles sind anfällig für Flash-Loan-Angriffe, und im Ernstfall verlierst du als Einleger.
Kann jeder einen Flash Loan aufnehmen?
Technisch ja, aber du brauchst einen Smart Contract, der die Strategie ausführt und den Loan in derselben Transaktion zurückzahlt. Es reicht nicht, manuell über eine Wallet zu interagieren. Du brauchst Solidity-Kenntnisse oder ein spezialisiertes Tool wie Furucombo, das Flash Loans ohne Programmierung ermöglicht.
Ist ein Flash Loan risikolos?
Für den Kreditgeber (Lending Pool) ja: Wenn die Rückzahlung scheitert, wird die Transaktion rückgängig gemacht. Für den Nutzer ist das Risiko begrenzt auf die Gas-Gebühr (die bei gescheiterter Transaktion trotzdem anfällt, auf Ethereum ggf. 10 bis 50 USD). Der Flash Loan selbst kostet nur die Protokollgebühr (z.B. 0,05 % bei Aave).
Sind Flash-Loan-Angriffe illegal?
Rechtlich eine Grauzone. Flash Loans selbst sind legal. Ob die Ausnutzung eines Smart-Contract-Bugs als Diebstahl oder als "erlaubte Interaktion mit dem Code" gilt, ist juristisch umstritten. Der Euler-Finance-Hacker gab 197 Mio. USD zurück, wohl auch weil die rechtliche Verfolgung drohte. In der EU könnten solche Angriffe unter MiCA und Computerbetrugs-Gesetze fallen.
Verwandte Begriffe
DeFi
DeFi (Decentralized Finance) bezeichnet Finanzdienstleistungen auf Blockchain-Basis, die ohne Banken...
Exploit
Ein Exploit ist das gezielte Ausnutzen einer Schwachstelle in Software, Smart Contracts oder Infrast...
Smart Contract
Ein Smart Contract ist Programmcode auf einer Blockchain, der automatisch ausgeführt wird, sobald fe...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️