وام‌های فوری چیست؟ قرض گرفتن ارز دیجیتال و حملات وام فوری

در ۱۷ آوریل ۲۰۲۲، یک مهاجم ناشناس بیش از ۱ میلیارد دلار را در یک تراکنش اتمی از Aave، Uniswap و SushiSwap قرض گرفت، به اندازه کافی توکن‌های نظارتی Stalk را در پروتکل استیبل کوین Beanstalk خریداری کرد تا یک پیشنهاد مخرب را تصویب کند، خزانه را خالی کرد و قبل از بسته شدن بلوک، همه چیز را بازپرداخت کرد. خسارت خالص: ۱۸۲ میلیون دلار. زمان سپری شده: یک بلوک اتریوم، تقریباً ۱۳ ثانیه. مهاجم هرگز حتی یک دلار هم از خود نداشت. وام فلش به همین معناست و به همین دلیل است که این وام اولیه چنین شهرت عجیبی در DeFi دارد.

وام‌های فلش دقیقاً چیستند؟ وام فلش، وام بدون وثیقه‌ای است که فقط به دلیل اتمی بودن بلاکچین‌ها وجود دارد. شما هر مقدار توکنی که می‌خواهید قرض می‌گیرید، از آنها استفاده می‌کنید و همه چیز را در یک تراکنش واحد بازپرداخت می‌کنید. اگر نتوانید اصل پول به علاوه کارمزد را بازپرداخت کنید، کل تراکنش طوری برگردانده می‌شود که انگار هیچ اتفاقی نیفتاده است. بدون بررسی اعتبار، بدون وثیقه اولیه، بدون احراز هویت مشتری. از آنجایی که وام‌های فلش به هیچ یک از این موارد نیاز ندارند، به عنوان نوعی وام عمل می‌کنند که هیچ معادلی در امور مالی سنتی ندارد. در این راهنما در مورد وام‌های فلش در اکوسیستم DeFi صحبت خواهیم کرد: نحوه عملکرد آنها در کد EVM، موارد استفاده واقعی، بزرگترین سوءاستفاده‌ها از سال 2020 تا 2025، نحوه مقایسه Aave، Balancer و Uniswap به عنوان ارائه دهندگان و نحوه دفاع پروتکل‌ها از خود در سال 2026.

وام فوری چیست و چگونه کار می‌کند؟

وام فلش نوعی وام بدون وثیقه است که مختص امور مالی غیرمتمرکز است و واضح‌ترین نمونه از یک مدل اولیه به سبک فلش در بازار DeFi است. شما یک تابع را در یک پروتکل وام‌دهی فراخوانی می‌کنید، پروتکل مقدار توکن درخواستی را به قرارداد شما منتقل می‌کند، قرارداد شما منطق دلخواهی را با آن وجوه اجرا می‌کند و سپس پروتکل اصل پول به علاوه کارمزد کمی را قبل از پایان تراکنش پس می‌گیرد. اگر استخر نتواند آنچه را که بدهکار است دریافت کند، کل تراکنش برگردانده می‌شود و هیچ تغییر وضعیتی باقی نمی‌ماند. از دیدگاه پروتکل، وام هرگز اتفاق نیفتاده است. وام‌های فلش شهرت بحث‌برانگیزی دارند زیرا همان مدل اولیه‌ای که به توسعه‌دهندگان اجازه می‌دهد دارایی‌ها را بدون وثیقه اولیه قرض بگیرند، به مهاجمان نیز اجازه می‌دهد به اشکالاتی دسترسی پیدا کنند که قبلاً برای سوءاستفاده به پول واقعی نیاز داشتند.

این اصطلاح اولین بار در طرح سال ۲۰۱۸ پروتکل Marble برای یک «بانک قرارداد هوشمند» ظاهر شد که به توسعه‌دهندگان اجازه می‌داد وام‌های بدون وثیقه اتمی را روی اتریوم اجرا کنند. اما وام‌های فلش تنها زمانی به جریان اصلی تبدیل شدند که Aave آنها را به عنوان بخشی از Aave V1 در شبکه اصلی اتریوم در ژانویه ۲۰۲۰ راه‌اندازی کرد. پست وبلاگ Aave که توسط مارک زلر نوشته شده بود و این ویژگی را اعلام می‌کرد، آن را به عنوان راهی برای ارائه همان دسترسی نقدینگی فوری به کاربران خرد DeFi که صندوق‌های پوشش ریسک همیشه در امور مالی سنتی داشتند، مطرح کرد. در عرض یک سال، Aave تقریباً ۲ میلیارد دلار وام فلش پردازش کرد. طبق داده‌های TradingView، تا سال ۲۰۲۵، حجم وام فلش این پروتکل در یک بازه زمانی سه ماهه به حدود ۷.۵ میلیارد دلار افزایش یافته بود.

نحوه عملکرد وام‌های فوری در یک تراکنش واحد

هر تراکنش بلاکچین اتمیک است. یا هر خط کد داخل آن با موفقیت اجرا می‌شود، یا هیچ‌کدام از آنها اجرا نمی‌شوند. وام‌های فلش از این ویژگی به عنوان سلاح استفاده می‌کنند. یک تماس‌گیرنده قراردادی را مستقر می‌کند که رابط گیرنده ارائه‌دهنده را پیاده‌سازی می‌کند و سپس تابعی مانند `flashLoan()` را در استخر وام‌دهی فراخوانی می‌کند. در اینجا توالی آن آمده است:

۱. قرارداد شما تابع `flashLoan()` را در استخر Aave فراخوانی می‌کند و مقدار مشخصی توکن درخواست می‌کند.

۲. استخر، آن توکن‌ها را به قرارداد شما منتقل می‌کند و تابع فراخوانی «executeOperation» شما را فراخوانی می‌کند.

۳. قرارداد شما هر منطق دلخواهی را که لازم باشد اجرا می‌کند: مبادله DEX، انحلال، رأی حاکمیتی.

۴. قبل از بازگشت وجه برگشتی، قرارداد شما به استخر اجازه می‌دهد تا اصل سرمایه به علاوه کارمزد حق بیمه را پس بگیرد.

۵. استخر وجوه را دریافت می‌کند. اگر موجودی حتی به اندازه یک وی (wei) کم باشد، کل تراکنش برگشت داده می‌شود.

وام فلش در هیچ زنجیره‌ای که از تراکنش‌های اتمی پشتیبانی نمی‌کند، امکان‌پذیر نیست، به همین دلیل است که همچنان یک نمونه اولیه بومی EVM باقی می‌ماند. کل تراکنش بر اساس اتمی بودن زنده و از بین می‌رود. هیچ سناریویی وجود ندارد که یک توسعه‌دهنده وام فلش را آغاز کند، وجوهی را قرض بگیرد و سپس نتواند وام را بازپرداخت کند، زیرا بلاکچین اجازه نمی‌دهد آن وضعیت ادامه یابد. کل تراکنش برگردانده می‌شود و همه طوری کنار می‌روند که انگار هیچ اتفاقی نیفتاده است. به همین دلیل است که وام‌های فلش نیازی به وثیقه اولیه، امتیازدهی اعتباری یا اعتماد به وام‌گیرنده ندارند. اگر وام‌گیرنده نتواند وام را تا پایان تراکنش بازپرداخت کند، وام بازپرداخت نمی‌شود و وضعیت به حالت قبل برمی‌گردد. عدم پرداخت وام فلش از نظر ریاضی در استخرهای وام‌دهی وثیقه‌ای که از این مکانیزم پشتیبانی می‌کنند، غیرممکن است.

استاندارد ERC-3156 سال ۲۰۲۰، رابط وام فلش را در سراسر اتریوم با دو قرارداد رسمی کرد: `IERC3156FlashLender` (آنچه که استخر باید پیاده‌سازی کند) و `IERC3156FlashBorrower` (آنچه که قرارداد شما باید پیاده‌سازی کند). این استاندارد، مجموعه‌ای پراکنده از پیاده‌سازی‌های وام فلش با مدل‌های بازپرداخت push/pull متناقض را یکپارچه کرد.

نحوه استفاده از وام‌های فلش در دیفای به صورت روزانه چگونه است؟

حجم وام‌های فلش (Flash Loan) اغلب خسته‌کننده است. اکثریت قریب به اتفاق وام‌های فلش مورد استفاده در بازار دیفای (DeFi) به سمت استراتژی‌های مشروعی می‌روند که از دسترسی کوتاه‌مدت به مقادیر زیادی توکن سود می‌برند. وام‌های فلش به کاربران عادی این امکان را می‌دهد که وام فلش بگیرند و دقیقاً مانند یک صندوق پوشش ریسک در بازارهای سنتی، فراتر از وزن خود عمل کنند، با این تفاوت که نیازی به بانکداری رابطه‌ای نیست. پروتکل‌هایی مانند Aave به صورت بومی از وام‌های فلش پشتیبانی می‌کنند و پروتکل‌های دیفای مانند Aave این مکانیزم را به یک بلوک سازنده اصلی برای استراتژی‌های درون زنجیره‌ای تبدیل کرده‌اند.

• آربیتراژ: بزرگترین مورد استفاده. ربات‌ها اختلاف قیمت بین دو صرافی غیرمتمرکز (DEX) را برای یک جفت ارز تشخیص می‌دهند، سرمایه کافی را برای بستن شکاف وام می‌دهند، یک معامله بین صرافی‌های غیرمتمرکز (DEX) انجام می‌دهند و اسپرد را به دست می‌آورند. سود آربیتراژ به همسو کردن قیمت‌ها در مکان‌های مختلف کمک می‌کند.
• سوآپ وثیقه: شما وامی با وثیقه اتریوم در Aave دارید و می‌خواهید آن وثیقه را بدون بستن موقعیت با wBTC مبادله کنید. وام فوری به شما امکان می‌دهد در یک تراکنش، وام جدید دریافت کنید.
• خود-انحلال: اگر موقعیت شما در شرف انحلال توسط یک ربات با جریمه ۵ تا ۱۵ درصدی باشد، می‌توانید مبلغ انحلال را فوراً وام دهید، موقعیت خود را ببندید و جریمه را برای خود نگه دارید.
• تامین مالی مجدد بدهی: انتقال یک وام معوق از یک پروتکل وام‌دهی به پروتکل دیگری با نرخ بهتر، در یک تراکنش.
• تسویه حساب‌ها: ربات‌های تسویه حساب حرفه‌ای از وام‌های فوری برای تأمین سرمایه مورد نیاز جهت تسویه یک موقعیت با وثیقه کم و دریافت پاداش استفاده می‌کنند.

واگذاری اعتبار، یکی از ویژگی‌های مجاور Aave است که به سپرده‌گذار اجازه می‌دهد قدرت وام گرفتن را به آدرس دیگری واگذار کند. این ویژگی با وام‌های سریع (flash loans) متفاوت است، اما اغلب در استراتژی‌های پیچیده DeFi با آنها ترکیب می‌شود. در همه این موارد، بینش کلیدی یکسان است: وام‌های سریع، دسترسی به سرمایه را برای هر کسی که بتواند Solidity بنویسد، دموکراتیزه می‌کند.

آربیتراژ، سوآپ وثیقه و سایر موارد استفاده

آربیتراژ مثال متعارفی است زیرا اعداد به طور واضح محاسبه می‌شوند. تصور کنید که اتریوم در Uniswap با قیمت ۳۰۰۰ دلار و در SushiSwap با قیمت ۳۰۱۰ دلار معامله می‌شود. یک جستجوگر یک وام فوری به مبلغ ۳ میلیون دلار USDC از Aave می‌گیرد، ۱۰۰۰ اتریوم را در Uniswap به قیمت ۳،۰۰۰،۰۰۰ دلار می‌خرد، آن ۱۰۰۰ اتریوم را در SushiSwap به قیمت ۳،۰۱۰،۰۰۰ دلار می‌فروشد، ۳،۰۰۰،۰۰۰ دلار به Aave به علاوه ۰.۰۵٪ حق بیمه (۱۵۰۰ دلار) بازپرداخت می‌کند و تقریباً ۸۵۰۰ دلار سود در یک تراکنش به دست می‌آورد. هزینه‌های گس بخشی از آن را می‌بلعد، اما اگر شکاف به اندازه کافی بزرگ باشد، محاسبات همچنان کار می‌کند. این مثال که برای آربیتراژ استفاده می‌شود، دلیل تبدیل شدن وام‌های فوری به ابزار پیش‌فرض برای بستن اختلاف قیمت در بازارهای مختلف است.

مبادله وثیقه همان مزیت را در جهتی متفاوت دارد. فرض کنید شما یک وام ۱۰۰۰۰۰ دلاری با استفاده از وثیقه وام گیرنده (ETH) در Aave باز کرده‌اید و اکنون نگران کاهش قیمت ETH هستید. در حالت عادی، شما باید وام را بازپرداخت کنید، ETH خود را آزاد کنید، آن را در ازای wBTC بفروشید، دوباره سپرده‌گذاری کنید و موقعیت را دوباره باز کنید، و همه این‌ها را در حالی که در هر جهش، لغزش قیمت را متحمل می‌شوید، انجام دهید. یک وام فلش به شما امکان می‌دهد همه این کارها را در یک تراکنش اتمی انجام دهید: ۱۰۰۰۰۰ دلار مورد نیاز برای پوشش وام را با استفاده از وجوه جدید وام بگیرید، وام اصلی را ببندید، ETH را دریافت کنید، آن را با wBTC مبادله کنید، wBTC را به عنوان وثیقه جدید واریز کنید، وام را دوباره باز کنید، فلش را بازپرداخت کنید. موقعیت شما هرگز بدون مدیریت باقی نمی‌ماند. این قدرت مبادله وثیقه در یک تماس اتمی است.

تعداد فرصت‌های منحصر به فرد برای آربیتراژ در بازارهای مختلف در DeFi بخشی از دلیل رشد وام‌های فلش حتی پس از سوءاستفاده‌های بزرگ است. هر AMM جدید، هر پروتکل وام‌دهی جدید و هر زنجیره جدید، مجموعه دیگری از شکاف‌های قیمتی را اضافه می‌کند که یک جستجوگر با وام فلش می‌تواند آنها را ببندد.

ارائه دهندگان وام فلش: Aave، Balancer، Uniswap

چهار ارائه‌دهنده در سال ۲۰۲۶ بر بازار وام‌های فوری تسلط دارند. هر کدام رویکرد کمی متفاوتی نسبت به کارمزدها و پیچیدگی ادغام دارند.

Aave انتخاب پیش‌فرض اکثر توسعه‌دهندگان است. این پلتفرم بیشترین نقدینگی، بزرگترین منوی دارایی و یک رابط کاربری گیرنده با مستندات خوب را دارد. Balancer ارزان‌ترین مکان برای زمانی است که فقط به یک دارایی نیاز دارید و به مکانیزم‌های خزانه اهمیتی نمی‌دهید. فلش سواپ‌های Uniswap از نظر فنی وام‌های فلش نیستند (آنها سواپ‌های توکن اتمی با پرداخت معوق هستند)، اما برای آربیتراژ همان هدف را دارند و اغلب نقدینگی بهتری برای یک جفت ارز خاص دارند. دوران وام فلش dYdX عملاً در سال‌های 2023-2024 به پایان رسید، زمانی که پروتکل به زنجیره اپلیکیشن مبتنی بر کازموس خود مهاجرت کرد، بنابراین وام‌های فلش آن اکنون به جای یک مکان فعال، یک پاورقی تاریخی هستند.

وام‌های فوری در مقابل وام‌های سنتی در امور مالی

مقایسه وام‌های فوری با وام‌های سنتی تقریباً ناعادلانه است زیرا آنها به دسته‌های مختلفی تعلق دارند. وام‌های سنتی به وثیقه اولیه، بررسی اعتبار و معمولاً نوعی KYC نیاز دارند و ماه‌ها یا سال‌ها با بازپرداخت ماهانه ادامه می‌یابند. وام‌های فوری به هیچ یک از اینها نیاز ندارند. تنها «وثیقه» خودِ اتمی بودن است که توسط EVM اعمال می‌شود. تنها «اصطلاح» همان تراکنشی است که شما در آن هستید.

این نکته‌ی مهمی است که اکثر تازه‌واردان از آن غافلند. وام‌های سنتی برای هر چیزی که باید فراتر از یک بلوک واحد ادامه یابد، مفید هستند: خرید خانه، پرداخت شهریه، تأمین مالی یک کسب و کار. وام‌های فلش برای هر یک از این موارد بی‌فایده هستند زیرا اصل پول باید قبل از پایان تراکنش به استخر برگردد و وام در همان بلوک بازپرداخت می‌شود یا هرگز وجود نداشته است. کاری که وام‌های فلش در واقع در آن خوب هستند، اجرای یک عملیات مالی برنامه‌ریزی‌شده در داخل یک بلوک است: آربیتراژ، انحلال، مبادله وثیقه. از آنجایی که وام‌های فلش فقط می‌توانند در یک تراکنش واحد وجود داشته باشند، ابزاری برای مکانیک‌های خاص DeFi هستند، نه منبع تأمین مالی برای هزینه‌های دنیای واقعی. آنها را به عنوان نوع جدیدی از مکانیک وام بومی قراردادهای هوشمند DeFi در نظر بگیرید، نه به عنوان جایگزینی برای وام مسکن.

ماهیت اتمی همچنین دلیل عدم امکان وام فلش در خارج از اکوسیستم EVM در حال حاضر است. سولانا، زنجیره‌های مبتنی بر Move و محیط‌های اجرایی غیر اتمی، ضمانت مشابهی را اعمال نمی‌کنند. وام‌های فلش کاملاً در دنیای استخرهای وام‌دهی وثیقه‌دار وجود دارند که می‌توانند با خیال راحت میلیون‌ها دلار پرداخت کنند، زیرا می‌دانند که بازگشت وجوه تضمین شده است.

حملات وام‌های فوری: بزرگترین سوءاستفاده‌های ۲۰۲۰-۲۰۲۵

وام‌های فلش شهرت بحث‌برانگیزی دارند و این تقریباً به طور کامل از نقش آنها در سوءاستفاده‌های DeFi ناشی می‌شود. گزارش 100 هک برتر DeFi در سال 2025 هالبورن تخمین می‌زند که وام‌های فلش در 83.3 درصد از سوءاستفاده‌های واجد شرایط DeFi در طول سال 2024 استفاده شده‌اند. این عدد تا زمانی که متوجه نکته مهمی نشوید، وحشتناک به نظر می‌رسد: وام‌های فلش به خودی خود آسیب‌پذیری نیستند. آنها یک عامل افزایش دهنده نیرو هستند. هر حمله بزرگ وام فلش از یک اشکال از پیش موجود (یک اوراکل قابل دستکاری، یک خطای گرد کردن، یک قرارداد حاکمیتی بدون محدودیت زمانی) سوءاستفاده می‌کند که وام‌های فلش به مهاجم اجازه می‌دهد بدون نیاز به داشتن صدها میلیون دلار، به آن دسترسی پیدا کند.

اینها تنها بزرگترین موارد هستند. این الگو همیشه یکسان باقی می‌ماند: یک قرارداد هوشمند در جایی، قیمت یا موجودی را به گونه‌ای می‌خواند که می‌توان آن را در داخل یک بلوک دستکاری کرد، و یک وام فوری به مهاجم قدرت کافی می‌دهد تا آن مقدار را از ارزش منصفانه‌اش بسیار فراتر ببرد. این حملات به پروتکل‌های DeFi انواع مختلفی از حملات را تأمین مالی می‌کنند، از دستکاری ساده اوراکل گرفته تا تصاحب کامل حاکمیت. کل سرقت کریپتو در تمام حوزه‌ها در سال ۲۰۲۴، ۱.۴۹ میلیارد دلار به ازای هر Chainalysis بود و در سال ۲۰۲۵ به ۳.۴ میلیارد دلار افزایش یافت، اگرچه بخش عمده‌ای از آن مربوط به نقض امنیتی صرافی Bybit در فوریه ۲۰۲۵ (۱.۵ میلیارد دلار) بود. ضررهای خاص DeFi با استاندارد شدن سخت‌گیری اوراکل و آزمایش ثابت، ثابت ماند.

چگونه یک اوراکل قیمت به حمله وام فوری تبدیل می‌شود

هر سوءاستفاده عمده از وام‌های فلش، در اصل، یک داستان دستکاری اوراکل است. سازوکار اکثر آنها یکسان است. یک پروتکل برای تصمیم‌گیری باید قیمت یک دارایی را بداند، که اغلب ارزش وثیقه موقعیت وام‌گیرنده است. پروتکل آن قیمت را از جایی روی زنجیره می‌خواند. اگر آن جای خاص یک استخر DEX واحد باشد که می‌تواند با یک معامله بزرگ جابجا شود، وام فلش دقیقاً ابزاری است که برای جابجایی آن لازم است.

این نمونه اولیه، گام به گام است. یک مهاجم ۱۰۰ میلیون دلار USDC را به صورت فلش از Aave قرض می‌دهد. آنها تمام آن را در ازای توکن X در یک استخر DEX هدف قرار می‌دهند و قیمت X را در آن استخر ۳۰۰ درصد افزایش می‌دهند. آنها به اندازه‌ای که پروتکل قربانی در ازای وثیقه X که اکنون متورم شده است، به آنها قرض می‌دهد، قرض می‌گیرند. آنها استخر را تقریباً به قیمت اصلی با معامله مخالف برمی‌گردانند. آنها وام فلش Aave را بازپرداخت می‌کنند. آنها وجوه قرض گرفته شده اضافی را نگه می‌دارند. کل این کار در یک تراکنش اجرا می‌شود. پروتکل قربانی فقط یک بار، در طول پنجره مهاجم، قیمت متورم را می‌خواند و قرارداد قربانی هیچ راهی برای تشخیص تفاوت ندارد.

این اتفاقی است که در فوریه ۲۰۲۰ برای bZx افتاد، و از آن زمان تاکنون تقریباً در تمام سوءاستفاده‌های وام‌های فلش مرتبط با اوراکل رخ داده است. راه‌حل در اصل ساده است: به اوراکل قیمتی که می‌تواند درون یک بلوک واحد جابجا شود، تکیه نکنید. در عمل، چندین سال طول کشید و صدها میلیون دلار ضرر برای این صنعت به همراه داشت تا این راه‌حل در مقیاس واقعی ارائه شود.

کاهش حملات وام‌های فوری در سطح پروتکل

دستورالعمل‌های دفاع در برابر حملات وام‌های فوری از سال ۲۰۲۰ به طور قابل توجهی سخت‌تر شده است. اگر در سال ۲۰۲۶ در حال ساخت یک پروتکل دیفای هستید، این‌ها دفاع‌های اولیه هستند، نه نوآوری.

• اوراکل‌های TWAP (میانگین وزنی قیمت‌ها بر اساس زمان) میانگین قیمت را در طول N بلوک قبلی، معمولاً 30 دقیقه، می‌خوانند. یک وام فلش تک تراکنشی نمی‌تواند میانگین 30 دقیقه‌ای را به طور معناداری تغییر دهد، بنابراین TWAPها دستکاری قیمت لحظه‌ای را خنثی می‌کنند. Uniswap V2 و V3 انباشتگرهای تجمعی TWAP داخلی را در معرض نمایش قرار می‌دهند.
• فیدهای قیمت چین‌لینک، داده‌های VWAP خارج از زنجیره را از بسیاری از صرافی‌ها جمع‌آوری کرده و به صورت ناهمزمان به‌روزرسانی می‌کنند. برای دستکاری فید چین‌لینک، یک مهاجم باید بیش از نیمی از گره‌های اوراکل مستقل فید را خراب کند، نه اینکه فقط یک استخر DEX را جابجا کند. به همین دلیل است که اکثر پروتکل‌های وام‌دهی مدرن از چین‌لینک به عنوان اوراکل اصلی خود استفاده می‌کنند.
• محافظان ورود مجدد از ورود مجدد قرارداد قرضی فلش به قربانی در طول فراخوانی مجدد آن جلوگیری می‌کنند. اصلاح‌کننده‌ی «nonReentrant» در OpenZeppelin پیاده‌سازی استاندارد آن است.
• محدودیت‌های زمانیِ حاکمیت، هرگونه اقدام حاکمیتی را بین تصویب و اجرای پیشنهاد، ۲۴ تا ۴۸ ساعت به تأخیر می‌اندازد. اکثریت آرای کسب‌شده از طریق وام‌های فوری، مدت‌ها قبل از اینکه بتوان از آن استفاده کرد، از بین می‌رود. ضرر ۱۸۲ میلیون دلاری بینزتاک در آوریل ۲۰۲۲ با یک محدودیت زمانیِ ساده امکان‌پذیر نبود.
• مکانیسم‌های توقف و قطع‌کننده‌های مدار به شوراهای DAO کلیدهای اضطراری برای توقف فوری پروتکل می‌دهند. Radiant Capital دقیقاً از همین روش در ژانویه ۲۰۲۴ برای جلوگیری از ریزش شش ثانیه پس از استقرار بازار آسیب‌پذیر USDC خود استفاده کرد.
• آزمایش ثابت و مبتنی بر ویژگی با Foundry یا Echidna، اشکالات جزئی مانند مشکل «donateToReserves» در Euler Finance را قبل از شبکه اصلی تشخیص می‌دهد. پس از Euler، این روش به یک روش استاندارد برای هر کدبیس درجه حسابرسی تبدیل شد.

ترکیب این دفاعیات دلیل کاهش پیوسته نسبت ضررهای DeFi به ارزش کل دارایی‌های DeFi از سال ۲۰۲۲ است، حتی با وجود اینکه ارزش کل دارایی‌های DeFi دوباره افزایش یافته است. وام‌های فلش قدرت کمتری پیدا نکردند. پروتکل‌ها در خواندن قیمت‌ها بهتر شدند.

وام‌های فوری، پولشویی و ردیابی بلاکچین

وام‌های فلش همچنین به یک نگرانی کوچک اما واقعی برای تیم‌های انطباق درون زنجیره‌ای تبدیل شده‌اند. بحث این نیست که خود وام‌های فلش پولشویی می‌کنند، زیرا اصل پول باید در همان تراکنش به استخر برگردد. نگرانی واقعی این است که آنها می‌توانند با میکسرها، پل‌های بین زنجیره‌ای و تجمیع‌کننده‌های مبادله به هم متصل شوند تا رد وجوه دزدیده شده را به روش‌هایی که انتساب آنها را دشوارتر می‌کند، تکه‌تکه کنند. حمله پروتکل زونامی در سال ۲۰۲۴ از یک دستکاری واحد مبتنی بر وام فلش برای استخراج حدود ۲.۱ میلیون دلار استفاده کرد و بخش‌هایی از درآمد حاصل از طریق چندین پروتکل قبل از رسیدن به آدرس‌های میکسر جابجا شد.

از جنبه مثبت، هر وام فلش یک تراکنش EVM کاملاً عمومی است. شرکت‌های تحلیلی مانند Chainalysis، TRM Labs و Elliptic می‌توانند توالی دقیق تماس‌ها را پس از وقوع، از جمله ارائه‌دهنده وام فلش، مبالغ قرض گرفته شده و هر تعامل قرارداد پایین‌دستی، بازسازی کنند. مهاجم Euler Finance ("Jacob") در مارس 2023 تقریباً به صورت آنی ردیابی شد و در نهایت تمام وجوه را بازگرداند، تا حدی به این دلیل که ردپای درون زنجیره‌ای بدون ابهام بود. وام‌های فلش مهاجمان را ناشناس نمی‌کنند. آنها فقط فاصله بین سوءاستفاده و تسویه حساب تمیز را بسیار کوتاه می‌کنند.

وضعیت وام‌های فوری و رشد حجم آنها در سال‌های ۲۰۲۴-۲۰۲۶

وام‌های فلش (Flash Loans) در طول سال‌های ۲۰۲۴ و ۲۰۲۵ بی‌سروصدا به سررسید رسیدند. طبق گزارش TradingView، حجم وام فلش نسخه ۳ آوه (Aave) در یک دوره سه ماهه در سال ۲۰۲۵ به حدود ۷.۵ میلیارد دلار رسید و این پروتکل با حدود ۲۵ میلیارد دلار وام معوق از انواع مختلف در هر بلاک، در مجموع در زمینه وام‌دهی دیفای (DeFi) پیشرو بود. بالانسر (Balancer) از طریق چندین رأی‌گیری مدیریتی، کارمزد وام فلش خود را ۰ درصد نگه داشت، به‌ویژه برای اینکه ادغام‌های توسعه‌دهندگان ادامه یابد. سوآپ‌های فلش نسخه ۳ یونی‌سواپ (Uniswap V3) زمانی که جستجوگران به جای وام‌های عمومی، به عمق یک جفت خاص نیاز داشتند، همچنان مورد توجه بودند.

سوءاستفاده‌ها از بین نرفتند، اما به طور متوسط کوچکتر شدند. Radiant Capital شش ثانیه پس از استقرار یک بازار USDC معیوب در Arbitrum در 2 ژانویه 2024، 4.5 میلیون دلار از دست داد. KiloEx در 14 آوریل 2025، 7.5 میلیون دلار را به دلیل سوءاستفاده از دستکاری اوراکل بین زنجیره‌ای از دست داد و تمام وجوه چهار روز بعد در ازای 750،000 دلار جایزه کلاه سفید بازگردانده شد. هر دو رویداد به مراتب کوچکتر از دوره 2021-2023 با ضررهای یک روزه بیش از 100 میلیون دلار بودند و هر دو به سرعت شناسایی و مهار شدند.

مهم‌ترین داستان سال ۲۰۲۵، حقوقی بود، نه فنی. هیئت منصفه منهتن در آوریل ۲۰۲۴، آوراهام آیزنبرگ را به دلیل سوءاستفاده ۱۱۶ میلیون دلاری از Mango Markets محکوم کرد و دستکاری اوراکل ناشی از وام‌های فلش را به عنوان کلاهبرداری بانکی و دستکاری کالاها در نظر گرفت. سپس در ۲۳ مه ۲۰۲۵، قاضی آرون سوبرامانیان تمام محکومیت‌های کیفری را به دلایل محل و عنصر لغو کرد. این حکم، دفاع آیزنبرگ مبنی بر اینکه این تجارت «دستکاری قانونی بازار» بوده است را تأیید نکرد، اما مبنای قانونی نحوه پیگرد قانونی سوءاستفاده‌های وام‌های فلش در ایالات متحده را مجدداً تنظیم کرد.

نتیجه نهایی وام‌های فوری در سال 2026

وام‌های فلش یکی از پاک‌ترین نوآوری‌های DeFi و یکی از سوءتفاهم‌شده‌ترین آنها هستند. آنها ذاتاً مخرب نیستند. آنها یک آسیب‌پذیری نیستند. آنها یک بدوی هستند که به هر کسی که قرارداد دارد، همان دسترسی فوری به نقدینگی را می‌دهد که صندوق‌های پوشش ریسک برای انحصار خود استفاده می‌کردند، و بخش عمده‌ای از حجم وام‌های فلش در سال ۲۰۲۶، عملیات خسته‌کننده آربیتراژ و تأمین مالی مجدد است که به تراز ماندن قیمت‌های DeFi کمک می‌کند. این حملات تیتر خبرها می‌شوند، اما این حجم از جستجوگرانی ناشی می‌شود که بازارها را کارآمد نگه می‌دارند.

روی دیگر سکه این است که هر پروتکلی که قیمت، موجودی یا آستانه رأی‌گیری را به گونه‌ای بخواند که بتوان آن را درون یک بلوک دستکاری کرد، در نهایت توسط یک وام سریع آزمایش خواهد شد. پاسخ درست، ممنوع کردن وام‌های سریع نیست (که نمی‌توانید). بلکه ساخت پروتکل‌هایی است که حتی وقتی یک مهاجم برای مدت کوتاهی یک میلیارد دلار را کنترل می‌کند، همچنان صحیح باقی بمانند. اوراکل‌های TWAP، فیدهای چین‌لینک، قفل‌های زمانی حاکمیت و آزمایش ثابت دیگر اختیاری نیستند. اینها هزینه فعالیت در زنجیره‌ای هستند که وام‌های سریع در آن وجود دارند.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.