フラッシュローンとは:仮想通貨による借入とフラッシュローン攻撃
2022年4月17日、匿名の攻撃者がAave、Uniswap、SushiSwapから1回のアトミックトランザクションで10億ドル以上を借り入れ、Beanstalkステーブルコインプロトコルで悪意のある提案を可決させるのに十分なStalkガバナンストークンを買い集め、資金を枯渇させ、ブロックが閉じる前に全額返済しました。純被害額:1億8200万ドル。経過時間:イーサリアムブロック1つ分、約13秒。攻撃者は1ドルも所有していませんでした。これがフラッシュローンの実態であり、DeFiにおいてこのプリミティブが奇妙な評判を得ている理由でもあります。
では、フラッシュローンとは一体何でしょうか?フラッシュローンは、ブロックチェーンがアトミックであるからこそ存在する無担保ローンです。必要なトークンを任意の量借り入れ、使用し、単一のトランザクション内で全額返済します。元金と手数料を返済できなかった場合、何も起こらなかったかのようにトランザクション全体が取り消されます。信用調査も、事前の担保も、KYCも不要です。フラッシュローンはこれらのいずれも必要としないため、従来の金融には存在しないタイプのローンとして機能します。このガイドでは、DeFiエコシステムにおけるフラッシュローンとは何か、EVMコードで実際にどのように機能するか、実際のユースケース、2020年から2025年までの最大の脆弱性、プロバイダーとしてのAave、Balancer、Uniswapの比較、そして2026年にプロトコルがどのように防御するかについて説明します。
フラッシュローンとは何か、そしてその仕組みは?
フラッシュローンは、分散型金融(DeFi)特有の無担保ローンの一種であり、DeFi市場におけるフラッシュ型プリミティブの最も明確な例です。融資プロトコルの関数を呼び出すと、プロトコルは要求されたトークンをコントラクトに送金し、コントラクトはその資金で任意のロジックを実行します。その後、トランザクションが終了する前に、プロトコルは元本と少額の手数料を引き出し、プールが債務を回収できない場合、トランザクション全体が取り消され、状態変更は残りません。プロトコルの観点からは、ローンは発生しなかったことになります。フラッシュローンは、開発者が前払い担保なしで資産を借り入れることができる同じプリミティブが、かつては実際の資金が必要だったバグを攻撃者が利用できるようにしてしまうため、物議を醸しています。
この用語は、開発者がイーサリアム上で担保なしのアトミックローンを実行できるようにする「スマートコントラクト銀行」に関するMarble Protocolの2018年の設計で初めて登場しました。しかし、フラッシュローンが主流になったのは、2020年1月にAaveがイーサリアムメインネット上のAave V1の一部としてフラッシュローンをリリースしたときです。Marc Zellerが執筆した、この機能を発表したAaveのブログ記事では、これを、従来の金融でヘッジファンドが常に享受してきたのと同じ即時流動性アクセスを、一般のDeFiユーザーに提供する方法として位置づけています。1年以内に、Aaveは約20億ドルのフラッシュローンを処理しました。TradingViewのデータによると、2025年までに、プロトコルのフラッシュローンの取引量は、3か月間の単一の期間で約75億ドルにまで増加しました。
フラッシュローンが1回の取引でどのように機能するか
すべてのブロックチェーン取引はアトミックです。その中のコード行はすべて正常に実行されるか、まったく実行されないかのどちらかです。フラッシュローンはこの特性を悪用します。呼び出し元は、プロバイダーのレシーバーインターフェースを実装するコントラクトをデプロイし、次に貸付プールで`flashLoan()`のような関数を呼び出します。その手順は次のとおりです。
1. あなたのコントラクトは、Aaveのプールに対して`flashLoan()`を呼び出し、特定の量のトークンを要求します。
2. プールはそれらのトークンをあなたのコントラクトに転送し、あなたの `executeOperation` コールバックを呼び出します。
3. あなたのコントラクトは、DEXスワップ、清算、ガバナンス投票など、必要な任意のロジックを実行します。
4. コールバックが返ってくる前に、契約によりプールが元金とプレミアム料金を引き出すことが承認されます。
5. プールが資金を引き出します。残高が1ウェイでも不足している場合は、取引全体がキャンセルされます。
フラッシュローンは、アトミックトランザクションをサポートしていないチェーンでは実行できません。そのため、EVMネイティブのプリミティブとして存在しています。トランザクション全体はアトミック性に基づいて実行され、アトミック性によって終了します。開発者がフラッシュローンを開始し、資金を借り入れた後、返済に失敗するというシナリオは存在しません。ブロックチェーンはそのような状態を永続させないためです。トランザクション全体がロールバックされ、何も起こらなかったかのように全員が立ち去ります。これが、フラッシュローンに事前の担保、信用スコア、借り手への信頼が不要な理由でもあります。借り手がトランザクション終了までにローンを返済できなかった場合、ローンは返済されず、状態はロールバックされます。このメカニズムをサポートする担保付き融資プール内では、フラッシュローンのデフォルトは数学的に不可能です。
2020年のERC-3156規格は、イーサリアム全体におけるフラッシュローンインターフェースを、2つのコントラクト(プールが実装する必要がある「IERC3156FlashLender」と、コントラクトが実装する必要がある「IERC3156FlashBorrower」)によって正式に規定しました。この規格により、これまでばらばらだったフラッシュローン実装と、一貫性のないプッシュ型/プル型の返済モデルが統一されました。
DeFiで毎日使われているフラッシュローンの様子
フラッシュローン取引の大部分は退屈なものです。DeFi市場全体で利用されているフラッシュローンの圧倒的多数は、大量のトークンへの短期的なアクセスから利益を得る正当な戦略に向けられています。フラッシュローンを利用することで、一般ユーザーは、従来の市場におけるヘッジファンドとまったく同じように、銀行とのリレーションシップなしに、自身の規模以上の成果を上げることができます。Aaveのようなプロトコルはフラッシュローンをネイティブにサポートしており、AaveのようなDeFiプロトコルは、この仕組みをオンチェーン戦略の中核的な構成要素へと変えました。
- 裁定取引:最大のユースケース。ボットは同一通貨ペアの2つのDEX間の価格差を見つけ、その差を埋めるのに十分な資金を即座に融資し、DEX間取引を実行して、スプレッドから利益を得る。裁定取引による利益は、取引所間の価格調整に役立つ。
- 担保交換:AaveでETHを担保としたローンを組んでいる場合、ポジションを決済せずにその担保をwBTCに交換したいとします。フラッシュローンを利用すれば、1回の取引で借り換えが可能です。
- 自己清算:もしあなたのポジションが5~15%のペナルティを課すボットによって清算されそうになった場合、清算額をフラッシュローンで借り入れ、自分のポジションを決済して、ペナルティを自分のものにすることができます。
- 債務借り換え:既存のローンを、より有利な金利の別の融資制度へ、1回の取引で移管すること。
- 清算:プロの清算ボットは、担保不足のポジションを清算するために必要な資金を前払いするためにフラッシュローンを使用し、ボーナスを懐に入れます。
クレジット委任は、預金者が借入権限を別のアドレスに委任できるAaveの関連機能です。これはフラッシュローンとは異なりますが、複雑なDeFi戦略ではフラッシュローンと組み合わされることがよくあります。これらのすべてにおいて、重要な洞察は同じです。フラッシュローンは、Solidityを記述できる人なら誰でも資本へのアクセスを民主化するものです。
裁定取引、担保スワップ、その他のユースケース
裁定取引は、数字がきれいに計算できるため、典型的な例と言えます。ETHがUniswapで3,000ドル、SushiSwapで3,010ドルで取引されていると想像してみてください。あるユーザーがAaveから300万USDCのフラッシュローンを借り入れ、Uniswapで1,000ETHを300万ドルで購入し、その1,000ETHをSushiSwapで301万ドルで売却します。そして、Aaveに300万ドルと0.05%のプレミアム(1,500ドル)を返済し、1回の取引で約8,500ドルの利益を得ます。ガス料金で一部が差し引かれますが、価格差が十分に大きければ計算は成り立ちます。この裁定取引の例こそ、フラッシュローンが異なる市場間の価格差を埋めるための定番ツールとなっている理由です。
担保スワッピングは、異なる方向で同様のメリットをもたらします。例えば、Aaveで借り手の担保(ETH)を使って10万ドルのローンを組んだとします。そして、ETHの価格が下落するのではないかと心配になったとします。通常であれば、ローンを返済し、ETHのロックを解除し、wBTCに交換し、再度入金し、ポジションを再開する必要があり、その過程で毎回スリッページが発生します。フラッシュローンを使えば、これらすべてを1つのアトミックトランザクションで実行できます。つまり、ローンを返済するために必要な10万ドルを新規資金で借り入れ、元のローンをクローズし、ETHを受け取り、それをwBTCに交換し、wBTCを新たな担保として入金し、ローンを再開し、フラッシュローンを返済する、という一連の流れを1回で完了できます。ポジションが管理されないままになることは決してありません。これが、単一のアトミックコールで担保スワッピングを行う力です。
DeFiにおける様々な市場間での裁定取引の機会が数多く存在することが、大規模な不正行為の後もフラッシュローンが成長し続けた理由の一つです。新しいAMM、新しいレンディングプロトコル、新しいチェーンが登場するたびに、フラッシュローンを利用するユーザーが埋めることができる価格ギャップが新たに生まれます。
フラッシュ ローン プロバイダー: Aave、Balancer、Uniswap
2026年には、4つのプロバイダーがフラッシュローン市場を独占するだろう。各社は手数料やシステム統合の複雑さに関して、それぞれ若干異なるアプローチを取っている。
| プロバイダー | 手数料 | 注目すべき特徴 | サポートされているチェーン |
|---|---|---|---|
| Aave V3 | 元本の0.05%(ガバナンス調整可能、V2では0.09%) | 最大規模のフラッシュローンプラットフォーム、30種類以上の資産をサポート、2025年には75億ドルの取引量を達成予定 | イーサリアム、ポリゴン、アバランチ、アービトラム、オプティミズム、ベースなど |
| バランサー・ヴォールト | 0%(意図的にゼロに設定) | 単一ヴォールト構造、シンプルな融資に最適な最も安価な場所 | イーサリアム、ポリゴン、アービトラム、オプティミズム、グノーシス |
| Uniswap V3 フラッシュスワップ | プール交換手数料の段階:0.01%、0.05%、0.30%、または1.00% | 最も高い流動性だが、より複雑な統合が必要 | イーサリアム、ポリゴン、アービトラム、オプティミズム、ベース、その他 |
| dYdX(歴史的データ) | ~0 (元金 + 2 ウェイ) | 資産セットは限定的(ETH、DAI、USDC)で、v4でCosmosアプリチェーンに移行されました。 | イーサリアム(v1~v3) |
| イコライザ | 変動あり、プール依存 | 専用に構築されたフラッシュローンマーケットプレイス | イーサリアム |
Aaveは、ほとんどの開発者にとってデフォルトの選択肢です。最も深い流動性、最大の資産メニュー、そして十分に文書化された受信インターフェースを備えています。Balancerは、単一の資産のみが必要で、ボルトの仕組みを気にしない場合に最も安価なプラットフォームです。Uniswapのフラッシュスワップは厳密にはフラッシュローンではありません(支払いが延期されたアトミックトークンスワップです)が、アービトラージの目的は同じで、特定のペアでは流動性が優れていることがよくあります。dYdXのフラッシュローン時代は、プロトコルが独自のCosmosベースのアプリチェーンに移行した2023年から2024年に事実上終了したため、フラッシュローンは現在、アクティブなプラットフォームではなく、歴史的な脚注となっています。
金融におけるフラッシュローンと従来型ローンの比較
フラッシュローンと従来のローンを比較するのは、両者が異なるカテゴリーに属するため、ほとんど不公平と言えるでしょう。従来のローンは、事前の担保、信用調査、通常は何らかの本人確認(KYC)が必要で、毎月の返済を伴い、数ヶ月から数年にわたって継続します。フラッシュローンは、これらのいずれも必要としません。唯一の「担保」は、EVMによって強制されるアトミック性そのものです。唯一の「期間」は、あなたが参加している単一の取引のみです。
新規参入者が見落としがちなトレードオフがここにあります。従来のローンは、住宅購入、学費の支払い、事業資金など、単一ブロックを超えて継続する必要のあるあらゆる用途に役立ちます。フラッシュローンは、取引が終了する前に元本をプールに戻す必要があり、ローンは同じブロック内で返済されるか、そうでなければ存在しなかったことになるため、これらの用途には適していません。フラッシュローンが実際に得意とするのは、1つのブロック内でプログラムによる金融操作を実行することです。例えば、裁定取引、清算、担保スワップなどです。フラッシュローンは単一の取引内でのみ存在できるため、現実世界での支出のための資金源ではなく、特定のDeFiメカニズムのためのツールです。住宅ローンの代替ではなく、DeFiスマートコントラクトに固有の新しいタイプのローンメカニズムとして考えてください。
アトミック性こそが、現時点でEVMエコシステム以外ではフラッシュローンが実現できない理由でもある。Solana、Moveベースのチェーン、非アトミック実行環境では、同じ保証は得られない。フラッシュローンは、担保付き融資プールという世界に完全に存在し、資金の返済が保証されているため、数百万ドルを安全に支払うことができる。
フラッシュローン攻撃:2020年から2025年にかけて最も多く発生した攻撃事例
フラッシュローンは物議を醸す評判があり、それはほぼ完全にDeFi攻撃におけるその役割に起因しています。Halbornの「Top 100 DeFi Hacks 2025」レポートでは、2024年に発生した対象となるDeFi攻撃の83.3%でフラッシュローンが使用されたと推定されています。この数字は恐ろしいように見えますが、重要なことに気づけば話は別です。フラッシュローンはそれ自体が脆弱性ではなく、攻撃力を増幅させるものなのです。主要なフラッシュローン攻撃はすべて、既存のバグ(操作可能なオラクル、丸め誤差、タイムロックのないガバナンス契約など)を悪用しており、攻撃者はフラッシュローンを利用することで、数億ドルもの資金を既に保有していなくても、これらのバグにアクセスできるのです。
| 日付 | プロトコル | 損失 | 根本的な原因 |
|---|---|---|---|
| 2020年2月 | bZx | 約95万4000ドル | 最初の注目度の高い事件は、Uniswap v1をオラクルとして操作した事件である。 |
| 2020年10月26日 | ハーベストファイナンス | 3380万ドル | Uniswapからの5000万USDCのフラッシュローンがCurveのyプール価格を操作した |
| 2021年10月27日 | クリームファイナンス | 1億3000万ドル | 単一の取引で68の資産にわたるyUSDの価格操作 |
| 2022年4月17日 | 豆の木 | 1億8200万ドル | 悪質なガバナンス提案を可決するために10億ドル以上を緊急融資。期限なし |
| 2022年10月11日 | マンゴー市場 | 1億1600万ドル(SEC) | アブラハム・アイゼンバーグは、偽の担保を担保に資金を借り入れるため、MNGOのオラクルを水増しした。 |
| 2023年2月16日 | カモノハシ金融 | 850万ドル | Aaveからの4400万USDCのフラッシュローンが、緊急引き出しの支払能力チェックで不具合に見舞われた。 |
| 2023年3月13日 | オイラーファイナンス | 1億9700万ドル | donateToReservesのバグ。攻撃者は数週間後にすべての資金を返還した。 |
| 2024年1月2日 | ラディアント・キャピタル | 450万ドル | 新しい Arbitrum USDC マーケットにおける Compound/Aave フォークでの丸めの問題 |
| 2025年4月14日 | キロエックス | 750万ドル | クロスチェーン価格オラクル操作。資金は4日以内に全額返還されました。 |
これらは最も大きなケースに過ぎません。パターンは毎回同じです。どこかのスマートコントラクトが、単一ブロック内で操作可能な方法で価格または残高を読み取り、フラッシュローンによって攻撃者はその読み取り値を公正価値から大きくずらすのに十分な火力を得ます。DeFiプロトコルに対するこれらの攻撃は、単純なオラクル操作から完全なガバナンス乗っ取りまで、さまざまな種類の攻撃の資金源となります。Chainalysisによると、2024年のすべてのベクトルによる仮想通貨の盗難総額は14億9000万ドルで、2025年には34億ドルに急増しましたが、その大部分は2025年2月のBybit取引所の単一の侵害(15億ドル)によるものでした。オラクルの強化と不変テストが標準になったため、DeFi固有の損失は横ばい状態が続いています。
価格予測がどのようにしてフラッシュローン攻撃に転じるか
主要なフラッシュローン攻撃の本質は、オラクル操作にある。その仕組みはほとんどの場合共通している。プロトコルは意思決定を行うために資産価格を知る必要があり、多くの場合、それは借り手のポジションの担保価値である。プロトコルはその価格をオンチェーン上のどこかから読み取る。もしその場所が、大規模な取引によって移動可能な単一のDEXプールであれば、フラッシュローンはまさにそのプールを移動させるために必要なツールとなる。
以下にその典型的な手順を示します。攻撃者はAaveから1億USDCをフラッシュローンで借り入れます。その全額をターゲットのDEXプールに投入し、トークンXと交換することで、そのプールにおけるXの価格を300%上昇させます。攻撃者は、インフレしたXを担保として、被害者プロトコルが貸し出す可能な限りの金額を借り入れます。反対の取引を行うことで、プールの価格をほぼ元の価格に戻します。Aaveのフラッシュローンを返済し、余剰の借入金を保持します。この一連の動作はすべて1つのトランザクションで実行されます。被害者プロトコルは、攻撃者の実行期間中に一度だけインフレした価格を読み取りますが、被害者コントラクトにはその違いを判別する方法がありません。
これは2020年2月にbZxで発生した事態であり、それ以降のオラクル関連のフラッシュローン攻撃でもほぼ同様のことが起こっています。原則として、解決策は単純明快です。単一ブロック内で移動可能な価格オラクルに依存しないことです。しかし実際には、業界がこの修正を大規模に実施するまでには数年と数億ドルの損失を要しました。
プロトコルレベルでのフラッシュローン攻撃の軽減
フラッシュローン攻撃に対する防御策は、2020年以降、大幅に強化されました。2026年にDeFiプロトコルを構築するのであれば、これらはもはや目新しいものではなく、必須の防御策となっています。
- TWAPオラクル(時間加重平均価格)は、過去Nブロック(通常30分)の平均価格を読み取ります。単一トランザクションのフラッシュローンでは30分平均価格を大きく変動させることはできないため、TWAPはスポット価格の操作を無効化します。Uniswap V2およびV3では、組み込みのTWAP累積アキュムレータが利用可能です。
- Chainlinkの価格フィードは、多数の取引所からオフチェーンのVWAPデータを集約し、非同期的に更新します。Chainlinkフィードを操作するには、攻撃者はフィードを構成する独立したオラクルノードの半数以上を侵害する必要があり、単に1つのDEXプールを移動させるだけでは不十分です。これが、最新のレンディングプロトコルのほとんどがChainlinkを主要なオラクルとして採用している理由です。
- 再入防止機能は、フラッシュローンされたコントラクトがコールバック中に被害者に再入することを防ぎます。OpenZeppelinの`nonReentrant`修飾子は、その標準的な実装です。
- ガバナンスのタイムロックは、提案の可決から実行までの間に24時間から48時間の遅延をもたらします。フラッシュローンによって得られた議決権の過半数は、実際に使用される前に消滅してしまいます。ビーンストークが2022年4月に被った1億8200万ドルの損失は、基本的なタイムロックがあれば起こり得なかったでしょう。
- 一時停止メカニズムとサーキットブレーカーは、DAO評議会にプロトコルを即座に停止させるための緊急手段を提供する。Radiant Capitalは、2024年1月に、脆弱なUSDC市場が展開されてからわずか6秒後に、まさにこの機能を利用して損失を食い止めた。
- FoundryやEchidnaを用いた不変条件テストやプロパティベーステストは、メインネット稼働前にEuler Financeの`donateToReserves`問題のようなエッジケースのバグを検出します。Euler以降、これはすべての監査グレードのコードベースにおける標準的な手法となりました。
これらの防御策の組み合わせこそが、TVLが回復する中でも、DeFiの損失とDeFi TVLの比率が2022年以降着実に低下し続けている理由である。フラッシュローンが弱体化したわけではない。プロトコルが価格を読み取る能力を向上させたのだ。
フラッシュローン、マネーロンダリング、ブロックチェーン追跡
フラッシュローンは、オンチェーンコンプライアンスチームにとって、規模は小さいながらも深刻な懸念事項となっている。フラッシュローン自体が資金洗浄に使われるというわけではない。なぜなら、元金は同じ取引内でプールに戻らなければならないからだ。本当の懸念は、フラッシュローンがミキサー、クロスチェーンブリッジ、スワップアグリゲーターと連鎖的に利用され、盗まれた資金の痕跡を断片化することで、資金の出所を特定しにくくする可能性がある点にある。2024年のZunamiプロトコル攻撃では、フラッシュローンを利用した単一の操作によって約210万ドルが不正に取得され、その収益の一部は複数のプロトコルを経由してミキサーアドレスに送金された。
良い点としては、すべてのフラッシュローンは完全に公開されたEVMトランザクションであるということです。Chainalysis、TRM Labs、Ellipticなどの分析企業は、フラッシュローンプロバイダー、借入額、およびすべての下流コントラクトのやり取りを含む、呼び出しの正確なシーケンスを事後的に再構築できます。Euler Financeの攻撃者(「Jacob」)は、2023年3月にほぼリアルタイムで公に追跡され、最終的にすべての資金を返還しましたが、これはオンチェーンの痕跡が明確だったことが一因です。フラッシュローンは攻撃者を匿名にするものではありません。ただ、攻撃からクリーンな決済までの期間を極めて短くするだけです。
2024年~2026年のフラッシュローンの州別成長率と融資額の伸び
フラッシュローンは2024年と2025年に静かに成熟期を迎えた。TradingViewの報道によると、AaveのV3フラッシュローンの取引量は2025年の3ヶ月間のローリング期間で約75億ドルに達し、The Blockによると、同プロトコルはあらゆる種類の未払いローン総額が約250億ドルでDeFi融資全体をリードしている。Balancerは、開発者の統合を継続するために、複数のガバナンス投票を通じてフラッシュローンの手数料を0%に維持した。Uniswap V3フラッシュスワップは、汎用ローンではなく特定のペアの深度を必要とする検索者の定番であり続けた。
エクスプロイトは完全には消滅しなかったものの、平均的には規模が縮小した。Radiant Capitalは2024年1月2日、Arbitrum上で欠陥のあるUSDCマーケットを展開したわずか6秒後に450万ドルを失った。KiloExは2025年4月14日、クロスチェーンオラクル操作のエクスプロイトにより750万ドルを失ったが、4日後に75万ドルのホワイトハット報奨金と引き換えに全額が返還された。これらの事例はいずれも、1日で1億ドル以上の損失が発生した2021年から2023年の時代と比べると桁違いに規模が小さく、いずれも迅速に発見され、封じ込められた。
2025年の最も重要な出来事は、技術的なものではなく、法的な問題だった。2024年4月、マンハッタンの陪審は、1億1600万ドル規模のマンゴー・マーケットの不正取引でアブラハム・アイゼンバーグを有罪とした。この不正取引は、フラッシュローンを利用したオラクル操作であり、電信詐欺と商品市場操作に該当すると判断された。ところが、2025年5月23日、アルン・スブラマニアン判事は、管轄と構成要件の不備を理由に、すべての有罪判決を取り消した。この判決は、アイゼンバーグの「合法的な市場操作」という弁護側の主張を支持するものではなかったが、米国におけるフラッシュローンを利用した不正取引の訴追方法に関する法的基準を塗り替えるものとなった。
2026年のフラッシュローンに関する結論
フラッシュローンは、DeFiにおける最もクリーンなイノベーションの一つであると同時に、最も誤解されているイノベーションの一つでもあります。フラッシュローンは本質的に悪意のあるものではありません。脆弱性でもありません。これは、かつてヘッジファンドが独占していたような即時流動性へのアクセスを、契約を持つすべての人に提供する原始的な仕組みです。2026年のフラッシュローン取引量の大部分は、DeFi価格の整合性を維持するのに役立つ、地味な裁定取引や借り換え取引です。攻撃がニュースの見出しを飾ることはありますが、取引量は市場の効率性を維持する検索者によって生み出されているのです。
その一方で、価格、残高、投票しきい値を1つのブロック内で操作可能な方法で読み取るプロトコルは、いずれフラッシュローンによって試されることになる。適切な対応策はフラッシュローンを禁止することではない(禁止は不可能だ)。攻撃者が一時的に10億ドルを支配したとしても、正しさを保つプロトコルを構築することだ。TWAPオラクル、Chainlinkフィード、ガバナンスタイムロック、不変テストはもはやオプションではなく、フラッシュローンが存在するチェーン上で運用するための必須コストとなる。
