¿Qué son los préstamos flash?: Préstamos de criptomonedas y ataques a préstamos flash
El 17 de abril de 2022, un atacante anónimo pidió prestados más de mil millones de dólares en una sola transacción atómica a Aave, Uniswap y SushiSwap, compró suficientes tokens de gobernanza Stalk en el protocolo de la stablecoin Beanstalk para aprobar una propuesta maliciosa, vació el tesoro y devolvió todo antes de que se cerrara el bloque. El daño neto fue de 182 millones de dólares. El tiempo transcurrido fue de un bloque de Ethereum, aproximadamente 13 segundos. El atacante nunca tuvo un solo dólar propio. Esto es lo que es un préstamo flash, y también es la razón por la que este tipo de operación tiene una reputación tan extraña en DeFi.
¿Qué son exactamente los préstamos flash? Un préstamo flash es un préstamo sin garantía que existe gracias a la naturaleza atómica de las blockchains. Puedes pedir prestada la cantidad de tokens que quieras, usarlos y devolverlos en una sola transacción. Si no pagas el capital más las comisiones, la transacción se revierte como si nada hubiera pasado. Sin verificación de crédito, sin garantías iniciales, sin KYC. Dado que los préstamos flash no requieren nada de eso, funcionan como un tipo de préstamo sin equivalente en las finanzas tradicionales. En esta guía sobre los préstamos flash en el ecosistema DeFi: cómo funcionan en el código EVM, casos de uso reales, las mayores vulnerabilidades entre 2020 y 2025, cómo se comparan Aave, Balancer y Uniswap como proveedores, y cómo se defienden los protocolos en 2026.
¿Qué es un préstamo flash y cómo funciona?
Un préstamo flash es un tipo de préstamo sin garantía exclusivo de las finanzas descentralizadas (DeFi), y es el ejemplo más claro de una primitiva de estilo flash en el mercado DeFi. Se llama a una función en un protocolo de préstamos, el protocolo transfiere la cantidad solicitada de tokens al contrato, este ejecuta una lógica arbitraria con esos fondos y, finalmente, el protocolo retira el capital más una pequeña comisión antes de que finalice la transacción. Si el fondo no puede recaudar lo que se le debe, toda la transacción se revierte y no se produce ningún cambio de estado. Desde el punto de vista del protocolo, el préstamo nunca se realizó. Los préstamos flash tienen una reputación controvertida porque la misma primitiva que permite a los desarrolladores pedir prestados activos sin garantía inicial también permite a los atacantes acceder a vulnerabilidades que antes requerían dinero real para ser explotadas.
El término apareció por primera vez en el diseño de Marble Protocol de 2018 para un "banco de contratos inteligentes" que permitiría a los desarrolladores ejecutar préstamos atómicos sin garantía en Ethereum. Pero los préstamos flash solo se popularizaron cuando Aave los lanzó como parte de Aave V1 en la red principal de Ethereum en enero de 2020. La publicación del blog de Aave que anunciaba la función, escrita por Marc Zeller, la presentó como una forma de brindar a los usuarios minoristas de DeFi el mismo acceso instantáneo a la liquidez que los fondos de cobertura siempre habían tenido en las finanzas tradicionales. En un año, Aave había procesado aproximadamente 2 mil millones de dólares en préstamos flash. Para 2025, el volumen de préstamos flash del protocolo había crecido a unos 7.5 mil millones de dólares en un solo período móvil de tres meses, según datos de TradingView.
Cómo funcionan los préstamos flash en una sola transacción
Cada transacción en la cadena de bloques es atómica. O bien cada línea de código que contiene se ejecuta correctamente, o ninguna lo hace. Los préstamos flash aprovechan esta propiedad. Un solicitante implementa un contrato que implementa la interfaz del receptor del proveedor y luego invoca una función como `flashLoan()` en el fondo de préstamos. Esta es la secuencia:
1. Tu contrato llama a `flashLoan()` en el pool de Aave, solicitando una cantidad específica de tokens.
2. El pool transfiere esos tokens a su contrato y llama a su función de devolución de llamada `executeOperation`.
3. Tu contrato ejecuta la lógica arbitraria que necesite: un intercambio DEX, una liquidación, una votación de gobernanza.
4. Antes de que se reciba la llamada de vuelta, su contrato autoriza al fondo a retirar el capital principal más la prima.
5. El fondo común retira los fondos. Si el saldo es inferior incluso en un wei, toda la transacción se revierte.
Los préstamos flash no son posibles en ninguna cadena que no admita transacciones atómicas, razón por la cual siguen siendo una primitiva nativa de EVM. Toda la transacción depende de la atomicidad. No existe ningún escenario en el que un desarrollador inicie un préstamo flash, obtenga fondos y luego no los pague, porque la cadena de bloques no permitirá que ese estado persista. La transacción completa se revierte y todos quedan como si nada hubiera pasado. Por eso, los préstamos flash no requieren garantías iniciales, calificación crediticia ni confianza en el prestatario. Si el prestatario no paga el préstamo al final de la transacción, el préstamo no se reembolsa y el estado se revierte. El impago de un préstamo flash es matemáticamente imposible dentro de los pools de préstamos garantizados que admiten este mecanismo.
El estándar ERC-3156 de 2020 formalizó la interfaz de préstamos flash en Ethereum con dos contratos: `IERC3156FlashLender` (que debe implementar el pool) y `IERC3156FlashBorrower` (que debe implementar tu contrato). El estándar unificó lo que había sido un conjunto fragmentado de implementaciones de préstamos flash con modelos de reembolso push/pull inconsistentes.
Así es como se ven los préstamos flash utilizados en DeFi en el día a día.
La mayor parte del volumen de préstamos flash es poco interesante. La inmensa mayoría de los préstamos flash utilizados en el mercado DeFi se destinan a estrategias legítimas que se benefician del acceso a corto plazo a grandes cantidades de tokens. Los préstamos flash permiten a los usuarios comunes obtener un préstamo instantáneo y obtener un impacto significativo, de la misma manera que lo hace un fondo de cobertura en los mercados tradicionales, pero sin la necesidad de una relación bancaria formal. Protocolos como Aave admiten préstamos flash de forma nativa, y los protocolos DeFi como Aave han convertido este mecanismo en un componente fundamental para las estrategias en la cadena de bloques.
- Arbitraje: el caso de uso más importante. Los bots detectan una diferencia de precio entre dos DEX para el mismo par, prestan capital rápidamente para cubrir la diferencia, ejecutan una operación entre DEX y obtienen el spread. Las ganancias del arbitraje ayudan a alinear los precios entre las distintas plataformas.
- Intercambio de garantías: tienes un préstamo abierto en Aave con ETH como garantía y quieres intercambiar esa garantía por wBTC sin cerrar la posición. Un préstamo flash te permite refinanciar en una sola transacción.
- Autoliquidación: si su posición está a punto de ser liquidada por un bot que cobra una penalización del 5-15%, puede solicitar un préstamo instantáneo por el monto de la liquidación, cerrar su propia posición y quedarse con la penalización.
- Refinanciación de deuda: trasladar un préstamo pendiente de un protocolo de crédito a otro con una tasa de interés más baja, en una sola transacción.
- Liquidaciones: los bots liquidadores profesionales utilizan préstamos rápidos para adelantar el capital necesario para liquidar una posición con garantía insuficiente y embolsarse la bonificación.
La delegación de crédito es una función complementaria de Aave que permite a un depositante delegar su capacidad de endeudamiento a otra dirección. Es distinta de los préstamos flash, pero a menudo se combina con ellos en estrategias DeFi complejas. En todas ellas, la idea clave es la misma: los préstamos flash democratizan el acceso al capital para cualquier persona que sepa programar en Solidity.
Arbitraje, intercambios de garantías y otros casos de uso
El arbitraje es el ejemplo paradigmático porque los números cuadran perfectamente. Imaginemos que ETH se cotiza a 3000 USD en Uniswap y a 3010 USD en SushiSwap. Un usuario solicita un préstamo flash de 3 millones de USDC a Aave, compra 1000 ETH en Uniswap por 3 000 000 USD, vende esos 1000 ETH en SushiSwap por 3 010 000 USD, devuelve a Aave 3 000 000 USD más la prima del 0,05 % (1500 USD) y obtiene una ganancia aproximada de 8500 USD en una sola transacción. Las comisiones por gas reducen una parte de esa ganancia, pero el cálculo sigue siendo correcto si la diferencia de precio es lo suficientemente grande. Este ejemplo de arbitraje explica por qué los préstamos flash se han convertido en la herramienta por defecto para cerrar las diferencias de precio en distintos mercados.
El intercambio de garantías ofrece el mismo beneficio, pero en una dirección diferente. Supongamos que abrió un préstamo de $100,000 utilizando la garantía del prestatario (ETH) en Aave, y ahora le preocupa que el ETH baje. Normalmente, tendría que reembolsar el préstamo, desbloquear su ETH, venderlo por wBTC, volver a depositarlo y reabrir la posición, todo ello asumiendo el deslizamiento en cada paso. Un préstamo flash le permite hacerlo todo en una sola transacción atómica: pedir prestados los $100,000 necesarios para cubrir el préstamo con fondos nuevos, cerrar el préstamo original, recibir el ETH, intercambiarlo por wBTC, depositar wBTC como nueva garantía, reabrir el préstamo y reembolsar el préstamo flash. Su posición nunca quedó sin gestionar. Ese es el poder del intercambio de garantías en una sola llamada atómica.
La gran cantidad de oportunidades únicas de arbitraje en los distintos mercados de DeFi explica en parte por qué los préstamos flash siguieron creciendo incluso después de las grandes estafas. Cada nuevo creador de mercado automatizado (AMM), cada nuevo protocolo de préstamos y cada nueva cadena añade un nuevo conjunto de diferencias de precio que un usuario con un préstamo flash puede cubrir.
Proveedores de préstamos flash: Aave, Balancer, Uniswap
En 2026, cuatro proveedores dominarán el mercado de préstamos instantáneos. Cada uno adopta un enfoque ligeramente diferente en cuanto a las comisiones y la complejidad de la integración.
| Proveedor | Tarifa | Característica destacada | Cadenas soportadas |
|---|---|---|---|
| Aave V3 | 0,05% del capital (ajustable por gobernanza, era 0,09% en V2) | La mayor plataforma de préstamos flash, con más de 30 activos compatibles y un volumen de 7.500 millones de dólares en 2025. | Ethereum, Polygon, Avalanche, Arbitrum, Optimismo, Base, más |
| Balancer Vault | 0% (cero por diseño) | Arquitectura de bóveda única, el lugar más económico para préstamos simples. | Ethereum, Polígono, Arbitrum, Optimismo, Gnosis |
| Intercambios de memoria flash Uniswap V3 | Nivel de comisión por intercambio del pool: 0,01%, 0,05%, 0,30% o 1,00% | Mayor liquidez pero integración más compleja | Ethereum, Polygon, Arbitrum, Optimism, Base, otros |
| dYdX (histórico) | ~0 (capital + 2 wei) | Conjunto limitado de activos (ETH, DAI, USDC), migrado a la appchain Cosmos en v4 | Ethereum (v1-v3) |
| Igualada | Variable, dependiente del grupo | Mercado de préstamos instantáneos diseñado específicamente para este fin. | Ethereum |
Aave es la opción predeterminada para la mayoría de los desarrolladores. Ofrece la mayor liquidez, el menú de activos más amplio y una interfaz de receptor bien documentada. Balancer es la opción más económica cuando solo se necesita un único activo y no importan los mecanismos de la bóveda. Los intercambios flash de Uniswap no son técnicamente préstamos flash (son intercambios atómicos de tokens con pago diferido), pero cumplen la misma función para el arbitraje y suelen tener mejor liquidez para un par específico. La era de los préstamos flash de dYdX terminó efectivamente entre 2023 y 2024 cuando el protocolo migró a su propia appchain basada en Cosmos, por lo que sus préstamos flash son ahora una nota a pie de página histórica en lugar de una plataforma activa.
Préstamos rápidos frente a préstamos tradicionales en finanzas
Comparar los préstamos flash con los préstamos tradicionales es casi injusto, ya que pertenecen a categorías diferentes. Los préstamos tradicionales requieren garantías iniciales, una verificación de crédito, generalmente algún tipo de verificación de identidad (KYC) y se extienden durante meses o años con pagos mensuales. Los préstamos flash no requieren nada de eso. La única "garantía" es la atomicidad misma, garantizada por la EVM. El único "plazo" es la transacción única en la que participas.
Aquí radica la disyuntiva que la mayoría de los principiantes pasan por alto. Los préstamos tradicionales son útiles para cualquier operación que deba perdurar más allá de un solo bloque: comprar una casa, pagar la matrícula universitaria, financiar un negocio. Los préstamos flash son inútiles para cualquiera de estas cosas, ya que el capital debe regresar al fondo común antes de que finalice la transacción, y el préstamo se reembolsa dentro del mismo bloque o nunca existió. La utilidad real de los préstamos flash radica en la ejecución de una operación financiera programática dentro de un solo bloque: un arbitraje, una liquidación, un intercambio de garantías. Dado que los préstamos flash solo pueden existir dentro de una única transacción, son una herramienta para mecanismos específicos de DeFi, no una fuente de financiación para gastos del mundo real. Considérelos como un nuevo tipo de mecanismo de préstamo propio de los contratos inteligentes de DeFi, no como un reemplazo para una hipoteca.
La naturaleza atómica también explica por qué los préstamos flash no son posibles fuera del ecosistema EVM en este momento. Solana, las cadenas basadas en Move y los entornos de ejecución no atómicos no ofrecen la misma garantía. Los préstamos flash se desarrollan exclusivamente en el ámbito de los fondos de préstamos garantizados, que pueden desembolsar millones de dólares con seguridad porque saben que los fondos están garantizados.
Ataques de préstamos flash: las mayores vulnerabilidades de 2020-2025
Los préstamos flash tienen una reputación controvertida, y esto se debe casi exclusivamente a su papel en las vulnerabilidades de DeFi. El informe "Top 100 DeFi Hacks 2025" de Halborn estima que los préstamos flash se utilizaron en el 83,3 % de las vulnerabilidades de DeFi elegibles durante 2024. Esta cifra parece aterradora hasta que se comprende algo importante: los préstamos flash no son vulnerabilidades en sí mismas, sino un multiplicador de fuerza. Cada ataque importante con préstamos flash explota un error preexistente (un oráculo manipulable, un error de redondeo, un contrato de gobernanza sin bloqueo temporal) al que los préstamos flash permiten acceder sin necesidad de poseer cientos de millones de dólares.
| Fecha | Protocolo | Pérdida | Causa principal |
|---|---|---|---|
| Febrero de 2020 | bZx | ~$954.000 | Primer incidente de alto perfil: manipuló Uniswap v1 como oráculo. |
| 26 de octubre de 2020 | Finanzas de cosecha | 33,8 millones de dólares | Un préstamo flash de USDC de 50 millones de dólares de Uniswap manipuló los precios de Curve y-pool. |
| 27 de octubre de 2021 | Finanzas de crema | 130 millones de dólares | Manipulación del precio de yUSD en 68 activos en una sola transacción. |
| 17 de abril de 2022 | Tallo de habichuelas | 182 millones de dólares | Se concedieron préstamos instantáneos de más de mil millones de dólares para aprobar una propuesta de gobernanza maliciosa; sin límite de tiempo. |
| 11 de octubre de 2022 | Mercados de mangos | 116 millones de dólares (SEC) | Avraham Eisenberg manipuló el oráculo de MNGO para obtener préstamos con garantías falsas. |
| 16 de febrero de 2023 | Platypus Finance | 8,5 millones de dólares | Préstamo flash de USDC de 44 millones de dólares de Aave fallido emergencia Retirar verificación de solvencia |
| 13 de marzo de 2023 | Finanzas de Euler | 197 millones de dólares | Error en donateToReserves; el atacante devolvió todos los fondos semanas después. |
| 2 de enero de 2024 | Capital radiante | 4,5 millones de dólares | Problema de redondeo en la bifurcación Compound/Aave en el nuevo mercado de USDC de Arbitrum |
| 14 de abril de 2025 | KiloEx | 7,5 millones de dólares | Manipulación de oráculos de precios entre cadenas; todos los fondos fueron devueltos en 4 días. |
Estos son solo los casos más importantes. El patrón se repite siempre: un contrato inteligente lee un precio o un saldo de forma que se puede manipular dentro de un solo bloque, y un préstamo flash le da al atacante la potencia suficiente para distorsionar esa lectura y alejarla considerablemente de su valor real. Estos ataques a los protocolos DeFi financian diversos tipos de ataques, desde la simple manipulación de oráculos hasta la toma total del control de la gobernanza. El robo total de criptomonedas en todos los ámbitos en 2024 fue de 1490 millones de dólares, según Chainalysis, y en 2025 se disparó a 3400 millones de dólares, aunque gran parte de ello correspondió a la única brecha de seguridad del exchange Bybit en febrero de 2025 (1500 millones de dólares). Las pérdidas específicas de DeFi se mantuvieron más estables a medida que el endurecimiento de los oráculos y las pruebas de invariantes se convirtieron en la norma.
Cómo un oráculo de precios se convierte en un ataque de préstamos relámpago
Cada gran ataque a los préstamos flash es, en esencia, una manipulación de oráculos. La mecánica es similar en la mayoría de ellos. Un protocolo necesita conocer el precio de un activo para tomar una decisión, a menudo el valor de la garantía de la posición del prestatario. El protocolo obtiene ese precio de algún lugar en la cadena de bloques. Si ese lugar es un único pool de DEX que puede ser movido por una gran operación, entonces un préstamo flash es precisamente la herramienta necesaria para moverlo.
Aquí está el arquetipo, paso a paso. Un atacante obtiene un préstamo instantáneo de 100 millones de USDC de Aave. Deposita todo el dinero en un pool DEX objetivo a cambio del token X, lo que eleva el precio de X un 300 % en ese pool. Toma prestado tanto como el protocolo víctima le permita usar como garantía el token X, cuyo precio ahora está inflado. Devuelve el pool a un precio similar al original con la operación inversa. Reembolsa el préstamo instantáneo de Aave. Conserva los fondos prestados sobrantes. Todo se ejecuta en una sola transacción. El protocolo víctima solo lee el precio inflado una vez, durante la ventana del atacante, y el contrato víctima no tiene forma de notar la diferencia.
Esto fue lo que ocurrió en bZx en febrero de 2020, y es lo que ha sucedido en casi todas las vulnerabilidades de préstamos flash relacionadas con oráculos desde entonces. La solución es sencilla en principio: no confiar en un oráculo de precios que pueda modificarse dentro de un solo bloque. En la práctica, la industria tardó varios años y sufrió pérdidas de cientos de millones de dólares para implementar esta solución a gran escala.
Mitigación de ataques de préstamos flash a nivel de protocolo
Las estrategias para defenderse de los ataques de préstamos flash se han vuelto mucho más sólidas desde 2020. Si estás desarrollando un protocolo DeFi en 2026, estas defensas serán requisitos básicos, no novedades.
- Los oráculos TWAP (precios promedio ponderados en el tiempo) leen el precio promedio de los N bloques anteriores, generalmente 30 minutos. Un préstamo flash de una sola transacción no puede modificar significativamente un promedio de 30 minutos, por lo que los TWAP neutralizan la manipulación del precio al contado. Uniswap V2 y V3 ofrecen acumuladores TWAP integrados.
- Los feeds de precios de Chainlink agregan datos VWAP externos a la cadena de múltiples exchanges y se actualizan de forma asíncrona. Para manipular un feed de Chainlink, un atacante tendría que corromper más de la mitad de los nodos oráculo independientes del feed, no solo mover un pool de DEX. Esta es la razón por la que la mayoría de los protocolos de préstamos modernos utilizan Chainlink como su oráculo principal.
- Los mecanismos de protección contra la reentrada impiden que el contrato prestado mediante flash vuelva a entrar en la víctima durante su devolución de llamada. El modificador `nonReentrant` de OpenZeppelin es la implementación estándar.
- Los plazos de aprobación de propuestas retrasan cualquier acción de gobernanza entre 24 y 48 horas entre la aprobación de una propuesta y su ejecución. Una mayoría de votación obtenida mediante un préstamo rápido se esfuma mucho antes de poder utilizarse. La pérdida de 182 millones de dólares de Beanstalk en abril de 2022 no habría sido posible con un plazo de aprobación básico.
- Los mecanismos de pausa y los disyuntores proporcionan a los consejos de las DAO claves de emergencia para detener el protocolo al instante. Radiant Capital utilizó precisamente esto en enero de 2024 para frenar las pérdidas seis segundos después de que su vulnerable mercado USDC se pusiera en marcha.
- Las pruebas invariantes y basadas en propiedades con Foundry o Echidna detectan errores en casos límite, como el problema de `donateToReserves` de Euler Finance, antes de la implementación en la red principal. Tras la implementación de Euler, esto se convirtió en práctica habitual para cualquier código fuente auditado.
La combinación de estas defensas explica por qué la proporción de pérdidas en DeFi con respecto al TVL de DeFi ha disminuido constantemente desde 2022, incluso cuando el TVL se recuperó. Los préstamos flash no perdieron eficacia. Los protocolos mejoraron su capacidad para interpretar los precios.
Préstamos flash, lavado de dinero y seguimiento de blockchain
Los préstamos flash también se han convertido en una preocupación, aunque pequeña, para los equipos de cumplimiento normativo en la cadena de bloques. El argumento no es que los préstamos flash en sí mismos blanqueen dinero, ya que el capital debe regresar al fondo común dentro de la misma transacción. La verdadera preocupación es que pueden encadenarse con mezcladores, puentes entre cadenas y agregadores de intercambio para fragmentar el rastro de los fondos robados, dificultando así su atribución. El ataque al Protocolo Zunami de 2024 utilizó una única manipulación basada en préstamos flash para extraer aproximadamente 2,1 millones de dólares, y parte de las ganancias se movieron a través de múltiples protocolos antes de llegar a las direcciones de los mezcladores.
Como punto positivo, cada préstamo flash es una transacción EVM totalmente pública. Empresas de análisis como Chainalysis, TRM Labs y Elliptic pueden reconstruir la secuencia exacta de llamadas a posteriori, incluyendo el proveedor del préstamo flash, los importes prestados y cada interacción contractual posterior. El atacante de Euler Finance ("Jacob") fue rastreado públicamente casi en tiempo real en marzo de 2023 y finalmente devolvió todos los fondos, en parte porque el rastro en la cadena de bloques era inequívoco. Los préstamos flash no hacen anónimos a los atacantes; simplemente reducen drásticamente el tiempo entre la explotación y la liquidación legítima.
Crecimiento del volumen y del estado de los préstamos flash entre 2024 y 2026
Los préstamos flash alcanzaron su vencimiento discretamente durante 2024 y 2025. El volumen de préstamos flash V3 de Aave alcanzó aproximadamente 7.500 millones de dólares en un solo período de tres meses en 2025, según la cobertura de TradingView, con el protocolo liderando los préstamos DeFi en general con alrededor de 25.000 millones de dólares en préstamos pendientes de todo tipo, según The Block. Balancer mantuvo su comisión del 0% para préstamos flash a través de múltiples votaciones de gobernanza, específicamente para seguir impulsando las integraciones de desarrolladores. Los intercambios flash V3 de Uniswap siguieron siendo la opción preferida cuando los usuarios necesitaban la profundidad de un par específico en lugar de un préstamo de propósito general.
Las vulnerabilidades no desaparecieron, pero su magnitud promedio se redujo. Radiant Capital perdió 4,5 millones de dólares seis segundos después de desplegar un mercado de USDC defectuoso en Arbitrum el 2 de enero de 2024. KiloEx perdió 7,5 millones de dólares el 14 de abril de 2025 debido a una vulnerabilidad de manipulación de oráculos entre cadenas, y cuatro días después se le devolvieron todos los fondos a cambio de una recompensa de 750 000 dólares para los hackers éticos. Ambos incidentes fueron de una magnitud mucho menor que las pérdidas de más de 100 millones de dólares en un solo día ocurridas entre 2021 y 2023, y ambos fueron detectados y controlados rápidamente.
La noticia más importante de 2025 fue de índole legal, no técnica. En abril de 2024, un jurado de Manhattan condenó a Avraham Eisenberg por la estafa de Mango Markets, valorada en 116 millones de dólares, al considerar la manipulación del mercado mediante préstamos flash como fraude electrónico y manipulación de materias primas. El 23 de mayo de 2025, el juez Arun Subramanian anuló todas las condenas penales por motivos de jurisdicción y elementos constitutivos. Si bien el fallo no respaldó la defensa de Eisenberg de que la operación era una "manipulación legal del mercado", sí estableció un nuevo marco legal para el enjuiciamiento de este tipo de estafas en Estados Unidos.
Conclusiones sobre los préstamos flash en 2026
Los préstamos flash son una de las innovaciones más limpias de DeFi y, a la vez, una de las más incomprendidas. No son intrínsecamente maliciosos ni representan una vulnerabilidad. Son una herramienta fundamental que brinda a cualquier persona con un contrato el mismo acceso instantáneo a la liquidez que antes monopolizaban los fondos de cobertura. La gran mayoría del volumen de préstamos flash en 2026 corresponde a operaciones de arbitraje y refinanciamiento que contribuyen a mantener la alineación de los precios en DeFi. Si bien los ataques acaparan los titulares, el volumen proviene de usuarios que buscan optimizar la eficiencia de los mercados.
La otra cara de la moneda es que cualquier protocolo que lea un precio, un saldo o un umbral de votación de forma que pueda manipularse dentro de un bloque acabará siendo puesto a prueba por un préstamo flash. La respuesta correcta no es prohibir los préstamos flash (es imposible), sino crear protocolos que sigan funcionando correctamente incluso cuando un atacante controle brevemente mil millones de dólares. Los oráculos TWAP, las fuentes de datos de Chainlink, los bloqueos temporales de gobernanza y las pruebas de invariantes ya no son opcionales; son el coste de operar en una cadena donde existen préstamos flash.
