KryptoRatgeber

Glossar

Flash Loan Attack

Aktualisiert 12. Juni 2026

Flash Loan Attack ist ein Angriffstyp im Bereich dezentraler Finanzsysteme (DeFi), bei dem ein Angreifer einen unbesicherten Flash Loan nutzt, um Schwachstellen in Smart Contracts oder Preis-Orakeln innerhalb einer einzigen atomaren Transaktion auszunutzen und dabei Gewinne zu erzielen.

Funktionsweise

Das entscheidende Merkmal eines Flash Loans ist seine Atomarität: Kreditaufnahme, Manipulation und Rückzahlung müssen vollständig innerhalb einer einzigen Blockchain-Transaktion ablaufen. Schlägt ein Schritt fehl, wird die gesamte Transaktion rückgängig gemacht – der Kredit gilt als nie vergeben. Dieses Prinzip erlaubt es, ohne Eigenkapital oder Sicherheiten sehr große Summen zu bewegen.

Der häufigste Angriffsvektor ist die Preismanipulation via Oracle. Der Ablauf folgt einem wiederkehrenden Muster:

  1. Der Angreifer leiht über ein DeFi-Protokoll eine große Menge Token ohne Sicherheit.
  2. Das geliehene Kapital wird genutzt, um den Spot-Preis eines Assets auf einem dezentralen Börsenprotokoll (DEX) stark zu verschieben.
  3. Ein anderes Protokoll, das diesen manipulierten Spot-Preis als einzigen Preis-Feed verwendet, wird ausgenutzt – etwa um überproportional viel Kapital als Kredit aufzunehmen oder Liquidationen auszulösen.
  4. Der Angreifer sichert den Gewinn und zahlt den Flash Loan zurück – alles innerhalb einer einzigen Transaktion.

Bekanntes Beispiel: bZx

Ein dokumentiertes Beispiel ist der Angriff auf das Kreditprotokoll bZx. Der Angreifer nutzte dabei die Abhängigkeit von bZx von Uniswap und Kyber als Preis-Orakel aus. Indem er den Spot-Preis auf diesen Plattformen gezielt verschob, konnte er beim bZx-Protokoll mehr Kapital ausleihen, als dessen Logik unter normalen Marktbedingungen erlaubt hätte. Der Vorgang veranschaulicht, wie das Zusammenspiel mehrerer Protokolle einen Angriffsvektor entstehen lässt, den keines der Systeme isoliert aufweist.

Schutzmaßnahmen

Effektive Gegenmaßnahmen konzentrieren sich auf drei Bereiche:

  • Dezentrale Preis-Orakel (wie Chainlink) beziehen Preisdaten aus mehreren unabhängigen Quellen und sind damit schwerer zu manipulieren als ein einzelner DEX-Spot-Preis.
  • Time-Weighted Average Prices (TWAP) glätten Preissignale über einen Zeitraum, sodass kurzzeitige Manipulationen innerhalb einer Transaktion keine Wirkung entfalten.
  • Smart-Contract-Audits decken fehlerhafte Protokolllogik, Reentrancy-Schwachstellen und unsichere Oracle-Abhängigkeiten auf, bevor ein Protokoll produktiv geht.

Flash Loan Attacks gelten als besonders verbreitet, weil sie günstig durchzuführen sind – die einzigen Kosten sind Transaktionsgebühren – und die Rückverfolgung des Angreifers durch die Pseudonymität von Blockchain-Adressen erschwert wird.

Verwandte Begriffe