Que sont les prêts flash ? Attaques liées aux prêts flash et aux emprunts de cryptomonnaies
Le 17 avril 2022, un attaquant anonyme a emprunté plus d'un milliard de dollars en une seule transaction atomique auprès d'Aave, Uniswap et SushiSwap, a acquis suffisamment de jetons de gouvernance Stalk sur le protocole stablecoin Beanstalk pour faire passer une proposition malveillante, a vidé la trésorerie et a remboursé la totalité de la somme avant la fermeture du bloc. Dommage net : 182 millions de dollars. Durée : un bloc Ethereum, soit environ 13 secondes. L'attaquant ne possédait pas un seul dollar. C'est ce qu'est un prêt flash, et c'est aussi ce qui explique la réputation particulière de cette technique dans la finance décentralisée (DeFi).
Qu'est-ce qu'un prêt flash, exactement ? Un prêt flash est un prêt sans garantie, rendu possible par l'atomicité des blockchains. Vous empruntez le montant de tokens souhaité, vous les utilisez, puis vous remboursez la totalité en une seule transaction. En cas de non-remboursement du capital et des frais, la transaction est annulée. Pas de vérification de solvabilité, pas de garantie initiale, pas de KYC. Grâce à cette absence de conditions, les prêts flash fonctionnent comme un type de prêt sans équivalent dans la finance traditionnelle. Ce guide explique le fonctionnement des prêts flash dans l'écosystème DeFi : leur fonctionnement dans le code EVM, des cas d'utilisation concrets, les principales failles de sécurité exploitées entre 2020 et 2025, une comparaison des fournisseurs Aave, Balancer et Uniswap, et les mesures de protection mises en place par les protocoles en 2026.
Qu'est-ce qu'un prêt éclair et comment fonctionne-t-il ?
Un prêt flash est un type de prêt sans garantie propre à la finance décentralisée (DeFi) et constitue l'exemple le plus clair d'une primitive de type « flash » sur le marché de la DeFi. Vous appelez une fonction sur un protocole de prêt ; le protocole transfère le montant de jetons demandé à votre contrat, votre contrat exécute une logique arbitraire avec ces fonds, puis le protocole récupère le capital majoré de frais minimes avant la fin de la transaction. Si le pool ne peut recouvrer les sommes dues, la transaction est entièrement annulée et aucune modification d'état n'est conservée. Du point de vue du protocole, le prêt est considéré comme inexistant. Les prêts flash ont mauvaise réputation car la même primitive qui permet aux développeurs d'emprunter des actifs sans garantie initiale permet également aux attaquants d'exploiter des failles qui nécessitaient auparavant de l'argent réel.
Le terme est apparu pour la première fois dans le projet de Marble Protocol de 2018, décrivant une « banque de contrats intelligents » permettant aux développeurs d'exécuter des prêts atomiques non garantis sur Ethereum. Cependant, les prêts flash ne se sont généralisés qu'avec leur lancement par Aave dans le cadre d'Aave V1 sur le réseau principal Ethereum en janvier 2020. L'article de blog d'Aave annonçant cette fonctionnalité, rédigé par Marc Zeller, la présentait comme un moyen d'offrir aux utilisateurs particuliers de la DeFi le même accès instantané à la liquidité dont les fonds spéculatifs bénéficiaient traditionnellement dans la finance. En un an, Aave avait traité environ 2 milliards de dollars de prêts flash. D'après les données de TradingView, le volume de prêts flash du protocole avait atteint environ 7,5 milliards de dollars sur une période glissante de trois mois en 2025.
Comment fonctionnent les prêts flash en une seule transaction
Chaque transaction blockchain est atomique. Soit chaque ligne de code s'exécute correctement, soit aucune ne s'exécute. Les prêts flash exploitent cette propriété. Un demandeur déploie un contrat qui implémente l'interface de réception du fournisseur, puis invoque une fonction comme `flashLoan()` sur le pool de prêts. Voici la séquence :
1. Votre contrat appelle `flashLoan()` sur le pool d'Aave, demandant un montant spécifique de jetons.
2. Le pool transfère ces jetons à votre contrat et appelle votre fonction de rappel `executeOperation`.
3. Votre contrat exécute toute logique arbitraire dont il a besoin : un échange DEX, une liquidation, un vote de gouvernance.
4. Avant le retour du rappel, votre contrat autorise le pool à récupérer le capital plus les frais de prime.
5. Le pool prélève les fonds. Si le solde est inférieur d'un seul wei, la transaction entière est annulée.
Le prêt flash est impossible sur toute blockchain ne prenant pas en charge les transactions atomiques, ce qui explique son statut de primitive native de l'EVM. L'atomicité est essentielle à la validité et à l'échec de la transaction. Il est impossible qu'un développeur initie un prêt flash, emprunte des fonds puis ne puisse pas le rembourser, car la blockchain empêche la persistance de cet état. La transaction est alors annulée et tout le monde peut repartir comme si de rien n'était. C'est également pourquoi les prêts flash ne nécessitent ni garantie initiale, ni évaluation de crédit, ni confiance envers l'emprunteur. Si l'emprunteur ne rembourse pas le prêt à la fin de la transaction, celui-ci n'est pas remboursé et l'état est restauré. Le défaut de paiement d'un prêt flash est mathématiquement impossible au sein des pools de prêts garantis qui prennent en charge ce mécanisme.
La norme ERC-3156 de 2020 a formalisé l'interface des prêts flash sur Ethereum avec deux contrats : `IERC3156FlashLender` (que le pool doit implémenter) et `IERC3156FlashBorrower` (que votre contrat doit implémenter). Cette norme a unifié un ensemble fragmenté d'implémentations de prêts flash, présentant des modèles de remboursement push/pull incohérents.
À quoi ressemblent les prêts flash utilisés quotidiennement dans la DeFi ?
La plupart des prêts flash sont peu rentables. L'immense majorité des prêts flash utilisés sur le marché DeFi finance des stratégies légitimes qui tirent profit d'un accès rapide à d'importantes quantités de tokens. Les prêts flash permettent aux utilisateurs ordinaires d'obtenir un prêt et de réaliser des gains considérables, à l'instar des hedge funds sur les marchés traditionnels, mais sans les contraintes d'une relation bancaire. Des protocoles comme Aave prennent en charge nativement les prêts flash, et des protocoles DeFi comme Aave ont fait de ce mécanisme un élément fondamental des stratégies on-chain.
- L'arbitrage est le principal cas d'utilisation. Des robots repèrent un écart de prix entre deux plateformes d'échange décentralisées (DEX) pour une même paire de devises, octroient un prêt éclair de capitaux pour combler cet écart, exécutent une transaction inter-DEX et empochent la différence. Les profits de l'arbitrage contribuent à harmoniser les prix sur les différentes plateformes.
- Échange de garantie : vous avez un prêt ouvert sur Aave avec de l’ETH en garantie et vous souhaitez échanger cette garantie contre du wBTC sans clôturer votre position. Un prêt flash vous permet de refinancer en une seule transaction.
- Autoliquidation : si votre position est sur le point d’être liquidée par un bot qui vous facture une pénalité de 5 à 15 %, vous pouvez effectuer un prêt éclair du montant de la liquidation, clôturer votre propre position et conserver la pénalité.
- Refinancement de dette : transfert d’un prêt en cours d’un protocole de prêt à un autre avec un taux plus avantageux, en une seule transaction.
- Liquidations : des robots liquidateurs professionnels utilisent des prêts éclair pour avancer le capital nécessaire à la liquidation d’une position sous-garantie et empocher la prime.
La délégation de crédit est une fonctionnalité d'Aave qui permet à un déposant de déléguer sa capacité d'emprunt à une autre adresse. Elle se distingue des prêts flash, mais est souvent combinée à ces derniers dans des stratégies DeFi complexes. Dans tous les cas, l'idée principale reste la même : les prêts flash démocratisent l'accès au capital pour toute personne capable de programmer en Solidity.
Arbitrage, échanges de garanties et autres cas d'utilisation
L'arbitrage est l'exemple type, car les calculs sont simples. Imaginons que l'ETH se négocie à 3 000 $ sur Uniswap et à 3 010 $ sur SushiSwap. Un utilisateur contracte un prêt flash de 3 millions de dollars USDC auprès d'Aave, achète 1 000 ETH sur Uniswap pour 3 000 000 $, les revend sur SushiSwap pour 3 010 000 $, rembourse à Aave les 3 000 000 $ plus la prime de 0,05 % (1 500 $), et empoche un profit d'environ 8 500 $ en une seule transaction. Les frais de gaz réduisent ce profit, mais le calcul reste valable si l'écart de prix est suffisamment important. Cet exemple d'arbitrage explique pourquoi les prêts flash sont devenus l'outil de référence pour combler les écarts de prix sur différents marchés.
L'échange de garanties offre le même avantage, mais dans un sens différent. Imaginez que vous ayez ouvert un prêt de 100 000 $ sur Aave en utilisant les ETH comme garantie de l'emprunteur, et que vous craigniez une chute du cours de l'ETH. Normalement, vous devriez rembourser le prêt, débloquer vos ETH, les vendre contre des wBTC, les redéposer et rouvrir la position, tout en subissant un slippage à chaque étape. Un prêt flash vous permet de réaliser toutes ces opérations en une seule transaction : emprunter les 100 000 $ nécessaires au remboursement du prêt initial grâce à de nouveaux fonds, le clôturer, recevoir les ETH, les échanger contre des wBTC, déposer les wBTC comme nouvelle garantie, rouvrir le prêt et rembourser le prêt flash. Votre position reste ainsi toujours sous surveillance. C'est toute la puissance de l'échange de garanties en une seule opération.
La multiplication des opportunités d'arbitrage uniques sur différents marchés de la DeFi explique en partie la croissance continue des prêts flash, même après les failles majeures. Chaque nouvel AMM, chaque nouveau protocole de prêt et chaque nouvelle blockchain crée de nouveaux écarts de prix qu'un emprunteur disposant d'un prêt flash peut combler.
Fournisseurs de prêts Flash : Aave, Balancer, Uniswap
Quatre fournisseurs dominent le marché des prêts express en 2026. Chacun adopte une approche légèrement différente en matière de frais et de complexité d'intégration.
| Fournisseur | Frais | Caractéristique remarquable | Chaînes de support |
|---|---|---|---|
| Aave V3 | 0,05 % du capital (ajustable en fonction de la gouvernance, contre 0,09 % dans la version 2) | Plateforme de prêts flash la plus importante, plus de 30 actifs pris en charge, volume de 7,5 milliards de dollars en 2025 | Ethereum, Polygone, Avalanche, Arbitrum, Optimisme, Base, plus |
| Coffre-fort de l'équilibreur | 0 % (zéro intentionnellement) | Architecture à chambre forte unique, solution la plus économique pour les prêts simples | Ethereum, Polygone, Arbitrum, Optimisme, Gnose |
| Uniswap V3 flash swaps | Taux de frais d'échange de pool : 0,01 %, 0,05 %, 0,30 % ou 1,00 % | Liquidité maximale, mais intégration plus complexe | Ethereum, Polygon, Arbitrum, Optimism, Base, et autres |
| dYdX (historique) | ~0 (principal + 2 wei) | Ensemble d'actifs limité (ETH, DAI, USDC), migré vers la chaîne d'applications Cosmos dans la v4 | Ethereum (v1-v3) |
| Égaliseur | Variable, dépendant du pool | Marché des prêts éclair spécialement conçu à cet effet | Ethereum |
Aave est le choix par défaut de la plupart des développeurs. Il offre la liquidité la plus importante, le plus grand choix d'actifs et une interface de réception bien documentée. Balancer est la plateforme la plus économique lorsqu'un seul actif est nécessaire et que le fonctionnement du coffre-fort ne pose pas de problème. Les échanges flash d'Uniswap ne sont pas techniquement des prêts flash (il s'agit d'échanges atomiques de jetons avec paiement différé), mais ils servent le même objectif d'arbitrage et offrent souvent une meilleure liquidité pour une paire spécifique. L'ère des prêts flash de dYdX s'est achevée en 2023-2024 lorsque le protocole a migré vers sa propre chaîne d'applications basée sur Cosmos ; ses prêts flash appartiennent donc désormais au passé.
Prêts express vs prêts traditionnels en finance
Comparer les prêts flash aux prêts traditionnels est presque injuste, car ils appartiennent à des catégories différentes. Les prêts traditionnels exigent une garantie initiale, une vérification de solvabilité, généralement une forme de vérification d'identité (KYC), et s'étendent sur plusieurs mois, voire plusieurs années, avec des remboursements mensuels. Les prêts flash n'exigent rien de tout cela. La seule « garantie » est l'atomicité elle-même, assurée par la machine à voter électronique (EVM). La seule « durée » est la transaction unique en cours.
Voici le compromis que la plupart des nouveaux venus ignorent. Les prêts traditionnels sont utiles pour tout ce qui doit se prolonger au-delà d'un seul bloc : l'achat d'une maison, le paiement des frais de scolarité, le financement d'une entreprise. Les prêts flash sont inutilisables pour ces opérations, car le capital doit être restitué au pool avant la fin de la transaction, et le prêt est remboursé au sein du même bloc, sinon il est considéré comme nul. En réalité, les prêts flash excellent dans l'exécution d'opérations financières automatisées au sein d'un seul bloc : un arbitrage, une liquidation, un échange de collatéral. Puisqu'ils ne peuvent exister que dans une seule transaction, les prêts flash sont un outil pour des mécanismes DeFi spécifiques, et non une source de financement pour des dépenses courantes. Il faut les considérer comme un nouveau type de mécanisme de prêt propre aux contrats intelligents DeFi, et non comme un substitut à un prêt hypothécaire.
Le caractère atomique de l'exécution explique également pourquoi les prêts flash ne sont pas possibles en dehors de l'écosystème EVM actuellement. Solana, les chaînes basées sur Move et les environnements d'exécution non atomiques n'offrent pas la même garantie. Les prêts flash s'effectuent exclusivement au sein de pools de prêts garantis, capables de verser des millions de dollars en toute sécurité, car elles ont la certitude que les fonds seront remboursés.
Attaques par prêts éclair : les principales failles de sécurité de 2020 à 2025
Les prêts flash ont mauvaise réputation, et cela tient presque entièrement à leur rôle dans les attaques contre la finance décentralisée (DeFi). Le rapport « Top 100 des piratages DeFi 2025 » de Halborn estime que les prêts flash ont été utilisés dans 83,3 % des attaques DeFi recensées en 2024. Ce chiffre est alarmant, mais il faut comprendre un point essentiel : les prêts flash ne constituent pas des vulnérabilités en soi. Ils décuplent la force d'une attaque. Chaque attaque majeure par prêt flash exploite une faille préexistante (un oracle manipulable, une erreur d'arrondi, un contrat de gouvernance sans verrouillage temporel) que les prêts flash permettent à un attaquant d'exploiter sans avoir besoin de posséder au préalable des centaines de millions de dollars.
| Date | Protocole | Perte | Cause première |
|---|---|---|---|
| Février 2020 | bZx | ~954 000 $ | Premier incident majeur, manipulation d'Uniswap v1 en tant qu'oracle |
| 26 octobre 2020 | Harvest Finance | 33,8 millions de dollars | Un prêt flash de 50 millions de dollars en USDC d'Uniswap a manipulé les prix du pool Y de Curve. |
| 27 octobre 2021 | Cream Finance | 130 millions de dollars | Manipulation du prix du dollar américain (yUSD) sur 68 actifs en une seule transaction |
| 17 avril 2022 | haricot magique | 182 millions de dollars | Plus d'un milliard de dollars de prêt éclair pour faire adopter une proposition de gouvernance malveillante ; sans échéance fixe |
| 11 octobre 2022 | Marchés de la mangue | 116 millions de dollars (SEC) | Avraham Eisenberg a gonflé l'oracle de MNGO pour emprunter en utilisant de fausses garanties. |
| 16 février 2023 | Platypus Finance | 8,5 millions de dollars | Un prêt éclair de 44 millions de dollars américains d'Aave a été compromis par un contrôle de solvabilité d'urgence défectueux. |
| 13 mars 2023 | Euler Finance | 197 millions de dollars | Bug de donateToReserves ; l’attaquant a restitué tous les fonds des semaines plus tard. |
| 2 janvier 2024 | Capitale radieuse | 4,5 millions de dollars | Problème d'arrondi dans la bifurcation Compound/Aave sur le nouveau marché USDC d'Arbitrum |
| 14 avril 2025 | KiloEx | 7,5 millions de dollars | Manipulation des prix inter-chaînes par oracle ; tous les fonds ont été remboursés en 4 jours. |
Il ne s'agit là que des cas les plus importants. Le schéma reste systématiquement le même : un contrat intelligent, quelque part, lit un prix ou un solde d'une manière manipulable au sein d'un seul bloc, et un prêt éclair donne à l'attaquant la puissance de feu nécessaire pour fausser considérablement cette lecture. Ces attaques contre les protocoles DeFi financent différents types d'attaques, allant de la simple manipulation d'oracles à la prise de contrôle totale de la gouvernance. Le total des vols de cryptomonnaies, tous vecteurs confondus, s'élevait à 1,49 milliard de dollars en 2024 selon Chainalysis, et a bondi à 3,4 milliards de dollars en 2025, dont une grande partie était due à la seule faille de sécurité de la plateforme Bybit en février 2025 (1,5 milliard de dollars). Les pertes spécifiques à la DeFi sont restées plus stables grâce à la généralisation du renforcement des oracles et des tests d'invariance.
Comment un oracle de prix se transforme en attaque de prêts éclair
Chaque faille majeure dans le domaine des prêts flash repose, au fond, sur la manipulation d'un oracle. Le mécanisme reste généralement le même. Un protocole doit connaître le prix d'un actif pour prendre une décision, souvent la valeur de la garantie de la position de l'emprunteur. Le protocole récupère ce prix sur la blockchain. Si cet oracle est un pool DEX unique, dont le cours peut être modifié par une transaction importante, alors un prêt flash est l'outil idéal pour le manipuler.
Voici le schéma type, étape par étape. Un attaquant obtient un prêt éclair de 100 millions de dollars USDC auprès d'Aave. Il investit la totalité de cette somme dans un pool DEX cible en échange du token X, faisant ainsi grimper le prix de X de 300 % sur ce pool. Il emprunte le montant maximal que le protocole victime est prêt à lui prêter en utilisant comme garantie son token X, désormais surévalué. Il ramène le prix du pool à un niveau proche de son prix initial grâce à l'opération inverse. Il rembourse le prêt éclair auprès d'Aave. Il conserve les fonds empruntés en excédent. L'opération se déroule en une seule transaction. Le protocole victime ne prend connaissance du prix surévalué qu'une seule fois, pendant la période d'activité de l'attaquant, et le contrat victime est incapable de détecter la différence.
C’est ce qui s’est produit sur bZx en février 2020, et c’est ce qui s’est reproduit dans presque toutes les failles de sécurité liées aux prêts flash et aux oracles depuis. La solution est simple en principe : ne pas se fier à un oracle de prix susceptible d’être déplacé au sein d’un même bloc. En pratique, il a fallu plusieurs années et des centaines de millions de dollars de pertes à l’industrie pour déployer cette solution à grande échelle.
Atténuer les attaques par prêts flash au niveau du protocole
Les stratégies de défense contre les attaques par prêts éclair se sont considérablement renforcées depuis 2020. Si vous développez un protocole DeFi en 2026, il s'agit de défenses incontournables, et non de simples nouveautés.
- Les oracles TWAP (prix moyens pondérés dans le temps) calculent le prix moyen sur les N blocs précédents, généralement sur 30 minutes. Un prêt flash ponctuel ne peut pas influencer significativement une moyenne sur 30 minutes ; les TWAP neutralisent donc toute manipulation du prix au comptant. Uniswap V2 et V3 proposent des accumulateurs cumulatifs TWAP intégrés.
- Les flux de prix Chainlink agrègent les données VWAP hors chaîne provenant de nombreuses plateformes d'échange et sont mis à jour de manière asynchrone. Pour manipuler un flux Chainlink, un attaquant devrait corrompre plus de la moitié des nœuds oracles indépendants du flux, et non se contenter de déplacer un seul pool DEX. C'est pourquoi la plupart des protocoles de prêt modernes utilisent Chainlink comme oracle principal.
- Les mécanismes de protection contre la réentrance empêchent le contrat emprunté temporairement de réintégrer la victime lors de son exécution. Le modificateur `nonReentrant` d'OpenZeppelin constitue l'implémentation standard.
- Les mécanismes de verrouillage de la gouvernance retardent toute action de gouvernance de 24 à 48 heures entre l'adoption d'une proposition et son exécution. Une majorité de vote obtenue grâce à un prêt éclair disparaît bien avant de pouvoir être utilisée. La perte de 182 millions de dollars de Beanstalk en avril 2022 n'aurait pas été possible avec un simple verrouillage de ce type.
- Les mécanismes de pause et les coupe-circuits permettent aux conseils des DAO d'interrompre instantanément le protocole en cas d'urgence. Radiant Capital a utilisé précisément ce système en janvier 2024 pour stopper l'hémorragie six secondes après le lancement de son marché USDC vulnérable.
- Les tests invariants et basés sur les propriétés, réalisés avec Foundry ou Echidna, permettent de détecter les bogues marginaux, comme le problème lié à la fonction `donateToReserves` d'Euler Finance, avant son déploiement sur le réseau principal. Après Euler, cette pratique est devenue la norme pour tout code source soumis à des audits.
C’est grâce à la combinaison de ces mécanismes de défense que le ratio des pertes DeFi par rapport à la TVL DeFi a diminué régulièrement depuis 2022, malgré la remontée de la TVL. Les prêts flash n’ont pas perdu de leur efficacité. Les protocoles ont amélioré leur capacité à anticiper les prix.
Prêts éclair, blanchiment d'argent et suivi de la blockchain
Les prêts flash constituent également une source d'inquiétude, certes modeste mais bien réelle, pour les équipes de conformité des blockchains. Le problème n'est pas que les prêts flash en eux-mêmes servent au blanchiment d'argent, puisque le capital doit être restitué au pool au cours de la même transaction. La véritable préoccupation réside dans leur capacité à être combinés à des services de mixage, des ponts inter-chaînes et des agrégateurs de swaps afin de fragmenter la trace des fonds volés et de rendre leur attribution plus difficile. L'attaque du protocole Zunami en 2024 a utilisé une simple manipulation via un prêt flash pour dérober environ 2,1 millions de dollars, dont une partie a transité par plusieurs protocoles avant d'atterrir sur des adresses de mixage.
L'avantage, c'est que chaque prêt flash est une transaction EVM entièrement publique. Des sociétés d'analyse comme Chainalysis, TRM Labs et Elliptic peuvent reconstituer a posteriori la séquence exacte des appels, y compris le fournisseur du prêt flash, les montants empruntés et chaque interaction avec les contrats en aval. L'attaquant d'Euler Finance (« Jacob ») a été identifié publiquement en quasi temps réel en mars 2023 et a finalement restitué tous les fonds, notamment grâce à la traçabilité sans ambiguïté des données sur la blockchain. Les prêts flash ne rendent pas les attaquants anonymes ; ils réduisent simplement considérablement le délai entre l'exploitation de la faille et le règlement.
Croissance du volume et de l'état des prêts flash entre 2024 et 2026
Les prêts flash sont arrivés à échéance discrètement entre 2024 et 2025. Le volume des prêts flash V3 d'Aave a atteint environ 7,5 milliards de dollars sur une période glissante de trois mois en 2025, selon TradingView. Le protocole domine le marché des prêts DeFi avec environ 25 milliards de dollars de prêts en cours, tous types confondus, d'après The Block. Balancer a maintenu ses frais de prêt flash à 0 % malgré plusieurs votes de gouvernance, notamment pour favoriser l'intégration de nouvelles plateformes par les développeurs. Les swaps flash V3 d'Uniswap sont restés la solution privilégiée lorsque les utilisateurs recherchaient la profondeur d'une paire spécifique plutôt qu'un prêt généraliste.
Les failles de sécurité n'ont pas disparu, mais leur ampleur moyenne a diminué. Radiant Capital a perdu 4,5 millions de dollars six secondes après le déploiement d'un marché USDC défectueux sur Arbitrum le 2 janvier 2024. KiloEx a perdu 7,5 millions de dollars le 14 avril 2025 suite à une manipulation d'oracle inter-chaînes ; les fonds ont été intégralement restitués quatre jours plus tard, assortie d'une prime de 750 000 $ pour le hacker éthique. Ces deux incidents étaient d'une ampleur bien moindre que les pertes journalières de plus de 100 millions de dollars enregistrées entre 2021 et 2023, et tous deux ont été rapidement détectés et maîtrisés.
L'événement le plus marquant de 2025 fut d'ordre juridique, et non technique. En avril 2024, un jury de Manhattan reconnut Avraham Eisenberg coupable de l'escroquerie de 116 millions de dollars perpétrée sur Mango Markets, qualifiant la manipulation de marché, via des prêts flash, de fraude électronique et de manipulation de matières premières. Le 23 mai 2025, le juge Arun Subramanian cassa toutes les condamnations pénales pour incompétence territoriale et éléments constitutifs de l'infraction. Cette décision ne valida pas la défense d'Eisenberg, qui affirmait que l'opération relevait d'une « manipulation de marché légale », mais elle redéfinit le cadre juridique applicable aux poursuites pour les escroqueries liées aux prêts flash aux États-Unis.
Conclusion sur les prêts éclair en 2026
Les prêts flash sont l'une des innovations les plus transparentes et pourtant les plus mal comprises de la DeFi. Ils ne sont pas fondamentalement malveillants. Ils ne constituent pas une vulnérabilité. Il s'agit d'un mécanisme primitif offrant à tout détenteur d'un contrat un accès instantané à la liquidité, similaire à celui que les fonds spéculatifs monopolisaient autrefois. La grande majorité du volume des prêts flash en 2026 correspond à des opérations d'arbitrage et de refinancement classiques, contribuant à l'équilibre des prix de la DeFi. Si les attaques font la une des journaux, le volume de prêts provient en réalité des utilisateurs qui effectuent des recherches pour garantir l'efficacité des marchés.
En revanche, tout protocole qui lit un prix, un solde ou un seuil de vote d'une manière manipulable au sein d'un seul bloc sera tôt ou tard testé par un prêt flash. La solution n'est pas d'interdire les prêts flash (c'est impossible), mais de concevoir des protocoles qui restent fiables même lorsqu'un attaquant contrôle brièvement un milliard de dollars. Les oracles TWAP, les flux Chainlink, les verrous temporels de gouvernance et les tests d'invariance ne sont plus optionnels : ils constituent le coût d'exploitation d'une blockchain où les prêts flash existent.
