Ein Flash Loan funktioniert dank einer Eigenschaft, die Blockchains einzigartig macht: Atomarität. Eine Transaktion führt entweder jede darin enthaltene Anweisung vollständig aus oder keine einzige, ein Zwischenzustand existiert nicht. Diese Garantie erlaubt es einem Lending-Protokoll, Gelder ohne jegliche vorab hinterlegte Collateral zu verleihen, denn wenn der Code des Kreditnehmers das Darlehen plus eine kleine Gebühr nicht vor Ende der Transaktion zurückzahlt, wird die gesamte Abfolge automatisch rückgängig gemacht, als wäre nichts geschehen. Der Kreditgeber trägt damit kein Kreditrisiko.
Der gesamte Vorgang läuft innerhalb von Code ab, den der Kreditnehmer im Voraus schreibt. Ein einzelner Smart Contract fordert die Mittel auf einem Netzwerk wie Ethereum an, führt eine Reihe vorprogrammierter Aktionen mit diesem Kapital aus und zahlt anschließend Hauptbetrag plus Gebühr zurück, alles innerhalb einer einzigen, nur Sekunden dauernden Transaktion. Da nichts über einen Zeitraum gehalten wird, bestehen die einzigen echten Kosten aus der Gas-Gebühr des Netzwerks.
- Arbitrage: ein Asset günstig auf einer Exchange kaufen und auf einer anderen teurer verkaufen, ohne eigenes Kapital zu binden.
- Collateral-Swaps: die Collateral hinter einem bestehenden Darlehen austauschen, ohne dieses zuvor zurückzuzahlen.
- Self-Liquidation: eine unterbesicherte Position selbst zu günstigen Konditionen schließen, bevor ein Liquidation-Bot sie mit einer Strafgebühr übernimmt.
Aave machte Flash Loans 2020 populär, danach bauten andere Protokolle wie dYdX und Uniswap vergleichbare Funktionen. Derselbe Mechanismus ist zugleich zu einem verbreiteten Angriffsvektor geworden: Ohne eigenes Kapital zu riskieren, kann ein Angreifer riesige Summen leihen, um Price Oracles zu manipulieren, Governance-Abstimmungen zu beeinflussen oder eine fehlerhafte Berechnungsfunktion auszunutzen, alles innerhalb einer einzigen Transaktion. Der Euler-Finance-Exploit von 2023, bei dem rund 197 Millionen US-Dollar erbeutet wurden, bevor der Angreifer den Großteil zurückgab, gilt weiterhin als der größte bekannte Flash-Loan-Angriff. Das Risiko liegt in angreifbarer Logik an anderer Stelle im DeFi-Bereich, nicht im Kreditmechanismus selbst.