闪电贷 FlashLoan

FlashLoan 是一种无抵押借贷。任何人都可以随时从资金池中借出大量资产，用它在区块链上做任何交易，最后把连本带利还给资金池。整个过程需要在一个交易里完成。

闪电贷攻击

1. 2020年10月26日总锁仓量超过10亿美元的 DeFi 项目 Harvest Finance 曝出遭到黑客攻击，已造成大约2400万美元的损失。
2. 2020年11月17日，起源协议 Origin Protocol 稳定币OUSD被爆出遭到闪电贷攻击，Origin Protocol共损失225万美元的 DAI 和100万美元的 ETH。
3. 2021年5月12日，DeFi 质押和流动性策略平台 xToken 遭到攻击，xBNTa Bancor 池以及 xSNXa Balancer 池被耗尽，xToken 损失约2500万美元。
4. 2021年 5 月 20 日，BSC 链上的 DeFi 收益聚合器 PancakeBunny 遭到闪电贷攻击。攻击者利用 PancakeSwap 操纵 LP Token（BNB-BUSDT/BNB-BUNNY）的价格，造成损失 4,500 多万美元。
5. 2021 年 Cream Finance 多次遭受闪电贷攻击，2 月份损失 3750 万美元，8 月份损失 1900 万美元，10月份又损失约 1.3 亿美元。

2022 还没结束，闪电贷攻击还在继续 ...

闪电贷可以用来做什么

市场永远存在大量的套利空间和漏洞，通过一次性借出大量的金额，可以

1. 找到套利空间，进行大规模的低买高卖，获得合理收益；比如资产在交易所 A 的价格低于交易所 B 的价格 0.1%，大规模资金很容易套利。
2. 将大量资金注入市场，操纵物价/币价，扰乱市场价格（预言机），利用极端情况下某些协议出现的漏洞，进行攻击。

如何确保还钱？

这个在以太坊上不是一个问题，因为以太坊是一个单实例的计算机，也是一个单实例的数据库，可以把任何操作放在同一个区块里进行原子操作。执行闪电贷的前提就是所有的交易需要在同一个区块里完成，这个由闪电贷提供者通过程序实现。

直觉

区块链给人最直观的感觉是去中心化的网络，特点是运行节点分散，并且数据永久。但是理解闪电贷的过程让人意识到，在 trustless 的场景下很多事情的做法不同。由于 trust 不需要任何成本，trust 本身是没有价值的，那么传统世界里本身基于 trust 发生的事情，在以太坊上面就会不一样。

在以太坊上，默认信任第三方的假设是不存在的，并且可以随时回滚整个交易，所以默认不信任没关系，但自己要管理好自己的状态。在互联网上，如果没有默认信任第三方，就无法完成任何交互。