حمله‌های Flash Loan چیستند؟

14 سپتامبر 2025

فلش‌لون‌ها به‌سرعت به یکی از اجزای مهم دنیای دیفای تبدیل شده‌اند و با رشد روزافزون آن‌ها، حملات فلش‌لون نیز افزایش یافته‌اند.

فلش‌لون چیست؟

فلش‌لون نوعی وام بدون وثیقه است که با استفاده از قراردادهای هوشمند ارائه می‌شود. این مفهوم نخستین بار توسط پلتفرم Aave معرفی شد.

در وام‌های سنتی، وام‌گیرنده یا باید وثیقه ارائه کند یا اعتبار بانکی قوی داشته باشد. اما در فلش‌لون، هیچ وثیقه‌ای نیاز نیست؛ تنها شرط این است که کل مبلغ در همان تراکنش بازپرداخت شود.

فلش‌لون‌ها به‌گونه‌ای طراحی شده‌اند که عمدتاً برای توسعه‌دهندگان کاربرد داشته باشند، زیرا نیاز به اجرای سریع، دقیق و برنامه‌ریزی‌شده دارند.

رایج‌ترین کاربرد فلش‌لون، آربیتراژ است: خرید یک دارایی در یک صرافی با قیمت پایین و فروش آن در صرافی دیگر با قیمت بالاتر، و بازپرداخت وام در همان تراکنش.

حمله فلش‌لون چیست؟

حمله فلش‌لون نوعی حمله در دیفای است که طی آن، هکر از یک پروتکل وام‌دهی، فلش‌لون یا وام آنی بدون وثیقه دریافت می‌کند و از آن در کنار مجموعه‌ای از ترفندها برای دستکاری بازار به نفع خود استفاده می‌کند.

این حملات ممکن است تنها در عرض چند ثانیه رخ دهند، اما گاه چهار یا بیشتر پروتکل دیفای را درگیر می‌کنند.

حمله‌های فلش‌لون به‌دلیل هزینه کم و امکان اجرای آسان، به رایج‌ترین نوع حملات در دیفای تبدیل شده‌اند. از زمان رشد انفجاری دیفای در سال ۲۰۲۰، این حملات به‌طور مداوم خبرساز بوده‌اند و در سال ۲۰۲۱ گستردگی بیشتری پیدا کردند. مجموع خسارات آن‌ها تا کنون به صدها میلیون دلار رسیده است.

حملات فلش‌لون چگونه انجام می‌شوند؟

فلش‌لون به کاربر اجازه می‌دهد هر مقدار دارایی که بخواهد، بدون سرمایه اولیه قرض بگیرد.

مثلاً، اگر کاربری بخواهد معادل ۷۰٬۰۰۰ دلار اتر قرض بگیرد، پروتکل این مبلغ را به او می‌دهد، اما مالک آن دارایی نیست و باید از آن استفاده‌ای سودآور داشته باشد تا بتواند بدهی را بازگرداند و سودی هم برای خود حفظ کند.

تمامی این فرایند باید به‌صورت بسیار سریع انجام شود. اگر وام در همان تراکنش بازپرداخت نشود، کل تراکنش لغو خواهد شد.

نکته جالب آن است که مهاجم عملاً قوانین بلاک‌چین را نقض نمی‌کند، بلکه از چارچوب موجود برای اجرای دستکاری‌های پیچیده استفاده می‌کند.

مطالعات موردی

حمله به  PancakeBunny

در می ۲۰۲۱، پروتکل PancakeBunny در زنجیره هوشمند بایننس هدف حمله فلش‌لون قرار گرفت. مهاجم مقدار زیادی BNB قرض گرفت، نرخ‌های BUNNY/BNB و USDT/BNB را دستکاری کرد، و پس از کسب سود سنگین، توکن‌ها را در بازار فروخت و باعث ریزش ۹۵٪ ارزش BUNNY شد.

در این حمله، بیش از ۷۰۰٬۰۰۰ توکن BUNNY و ۱۱۴٬۰۰۰ BNB از دست رفت.

حمله به  Alpha Homora

در فوریه ۲۰۲۱، بزرگ‌ترین حمله فلش‌لون ثبت‌شده تا آن زمان رخ داد. مهاجم از Iron Bank وام‌هایی به‌صورت پی‌درپی گرفت و آن‌ها را به Alpha Homora برگرداند و در ازای آن توکن cySUSD  دریافت کرد.

او سپس از طریق Aave مبلغ زیادی USDC قرض گرفت، آن را با sUSD تعویض کرد، و این فرایند را بارها تکرار کرد تا بتواند توکن‌های بیشتری را از بازار خارج کرده و وام‌های دیگر بگیرد.

در این حمله، مهاجم موفق شد مقادیر هنگفتی از WETH، USDC، USDT و DAI را خارج کند، در مجموع ۳۷ میلیون دلار.

حمله به  ApeRocket

در جولای ۲۰۲۱، پروتکل ApeRocket در دو نسخه BSC و Polygon مورد حمله قرار گرفت. مهاجم از طریق Aave و PancakeSwap فلش‌لون گرفت، توکن‌های جعلی ایجاد کرد، آن‌ها را در بازار فروخت و باعث سقوط ۶۳٪ قیمت توکن SPACE شد. مجموع خسارات این حمله، ۱.۲۶ میلیون دلار بود.

چرا حملات فلش‌لون در دیفای رایج هستند؟

۱. ارزان‌ بودن

بر خلاف حملاتی مثل ۵۱٪ که به منابع زیادی نیاز دارند، فلش‌لون تنها به یک کامپیوتر، اینترنت و کمی مهارت نیاز دارد. اجرای حمله معمولاً تنها چند ثانیه تا چند دقیقه زمان می‌برد.

۲. کم‌ریسک بودن

در بیشتر موارد، مهاجمان ناشناس باقی می‌مانند و قابل ردیابی نیستند. آن‌ها از ابزارهایی مانند میکسرها یا پروتکل‌هایی مانند Tornado Cash برای پنهان کردن ردپای خود استفاده می‌کنند.

چگونه می‌توان از حملات فلش‌لون جلوگیری کرد؟

استفاده از اوراکل‌های غیرمتمرکز

یکی از راهکارهای اصلی، استفاده از اوراکل‌هایی مثل Chainlink یا Band Protocol برای قیمت‌گذاری است، به‌جای تکیه بر داده‌های یک صرافی خاص.

اعمال محدودیت زمانی دو بلاکی

پیشنهاد شده است که تراکنش‌های حساس به‌جای اجرا در یک بلاک، در دو بلاک متوالی انجام شوند. البته این راهکار نیازمند طراحی دقیق است و ممکن است در صورت پیاده‌سازی نادرست، کارایی کلی سیستم را کاهش دهد.

ابزارهای تشخیص حمله

پلتفرم‌هایی مانند OpenZeppelin Defender ابزارهایی ارائه کرده‌اند که به توسعه‌دهندگان کمک می‌کند فعالیت‌های مشکوک یا سوءاستفاده‌های قرارداد هوشمند را سریع‌تر شناسایی و متوقف کنند. این ابزارها در پروژه‌هایی مثل Synthetix، Yearn و Opyn نیز استفاده شده‌اند.

حمله‌های فلش‌لون آمده‌اند که بمانند، حداقل برای مدتی. با اینکه راه‌حل‌های مختلفی پیشنهاد شده، دیفای هنوز به بلوغ کامل نرسیده و تقریباً هر هفته آسیب‌پذیری‌های جدیدی کشف می‌شود. توسعه‌دهندگان باید از ابزارهای موجود بیشترین بهره را ببرند، و از هر حمله تجربه‌ای تازه بیاموزند. برای کاربران، مشارکت در دیفای همچنان فرصت‌ساز است، اما تنها با مدیریت درست ریسک و سرمایه‌گذاری آگاهانه. هیچ‌گاه دارایی‌ای را وارد نکنید که توان از دست دادنش را ندارید، چراکه در دیفای، مدیریت ریسک همه‌چیز است.