Belohnungszentrum 
Stellen Sie sich vor, Sie leihen sich 100 Millionen US-Dollar für genau 12 Sekunden, nutzen diese für eine Strategie und zahlen alles zurück, bevor jemand bemerkt, dass das Geld weg war. Das ist ein Flash Loan – ein Kredit ohne Sicherheiten, Bonitätsprüfung oder Papierkram. Alles läuft in einem einzigen Blockchain-Transaktionsblock ab. Scheitert ein Schritt, wird die gesamte Transaktion automatisch zurückgesetzt, als wäre sie nie passiert. Aave verarbeitete allein im Jahr 2025 ein Flash Loan-Volumen von über 7,5 Milliarden US-Dollar, und das Protokoll überschritt im Februar 2026 die Marke von 1 Billion US-Dollar an kumulierten Krediten (Quelle).
Flash Loans zählen zu den mächtigsten, aber auch am häufigsten missverstandenen Werkzeugen der Dezentralisierten Finanzen (DeFi). Sie ermöglichen legitime Strategien, die sonst große Anfangsinvestitionen erfordern würden, wurden aber auch genutzt, um Angriffe auf unsichere Protokolle auszuführen. Im Folgenden erfahren Sie, wie Flash Loans technisch ablaufen, welche Risiken bestehen und warum diese Thematik 2026 für alle DeFi-Nutzer relevant ist.
Schritt-für-Schritt: Wie funktioniert ein Flash Loan?
Im traditionellen Finanzsystem benötigt man für einen Kredit Sicherheiten, eine Bonität und Zeit. Flash Loans entfallen all diese Voraussetzungen: Der Kredit wird aufgenommen und innerhalb derselben Transaktion auf der Blockchain zurückgezahlt. Kommt es nicht zur Rückzahlung, wird alles automatisch zurückgesetzt. Das geliehene Kapital ist somit zu keinem Zeitpunkt für den Kreditgeber gefährdet – entweder alles wird korrekt ausgeführt oder die Transaktion existiert nicht.
Man kann sich dies wie eine Zeitreise-Bank vorstellen: Sie leihen sich 50 Millionen, investieren, erzielen ein Ergebnis, zahlen den Kredit plus eine kleine Gebühr zurück – und verlassen die Bank, als wäre nie etwas passiert. Sollte ein Fehler auftreten, wird die Zeit zurückgedreht und der Vorgang ungeschehen gemacht.
Der Ablauf im Detail: Ein Smart Contract bei Aave, dYdX oder anderen Protokollen vergibt den Kredit. Das eigene Smart Contract-Programm des Kreditnehmers führt mit den geliehenen Mitteln Aktionen wie Arbitrage, Collateral Swaps oder Liquidationen aus. Am Ende derselben Transaktion wird der Kredit samt Gebühr zurückgezahlt (bei Aave aktuell 0,05 %). Fehlt die Rückzahlung oder stimmen die Summen nicht, wird die gesamte Transaktion durch die Ethereum Virtual Machine rückabgewickelt. Das alles geschieht innerhalb eines Blocks (rund 12 Sekunden auf Ethereum). Für einen 10-Millionen-US-Dollar-Kredit fallen etwa 5.000 US-Dollar an Protokollgebühren an.
Wofür werden Flash Loans genutzt?
Die meisten Flash Loans werden nicht für Angriffe, sondern für drei legitime Zwecke genutzt:
Arbitrage: Ein Token kostet auf Uniswap 1,02 US-Dollar und auf SushiSwap 0,98 US-Dollar. Ein Trader nimmt einen Flash Loan über 5 Millionen US-Dollar auf, kauft den günstigeren Token, verkauft ihn teurer und zahlt den Kredit zurück. Diese Form der Arbitrage sorgt für effizientere Märkte, da Preisdifferenzen schnell ausgeglichen werden.
Collateral Swaps: Sie haben einen Kredit bei Aave, besichert mit ETH, möchten aber auf USDC als Sicherheit wechseln. Mit einem Flash Loan können Sie den bestehenden Kredit zurückzahlen, Ihr ETH freisetzen, USDC als neues Collateral hinterlegen, einen neuen Kredit aufnehmen und den Flash Loan in einem Schritt zurückzahlen. So vermeiden Sie Preisschwankungsrisiken bei mehrstufigen Vorgängen.
Self-Liquidation: Nähert sich Ihr DeFi-Kredit der Liquidationsschwelle, können Sie mit einem Flash Loan die Schulden zurückzahlen, das Collateral entnehmen, einen Teil verkaufen und den Rest behalten. So umgehen Sie Strafgebühren, die höher als die Flash-Loan-Gebühr sein können.
Wie funktionieren Flash Loan-Angriffe?
Das Instrument selbst ist neutral, doch Angreifer nutzen Flash Loans, um Attacken mit wenig Eigenkapital durchzuführen. Seit 2020 entstanden durch Flash Loan-Attacken Verluste von über 500 Millionen US-Dollar in verschiedenen DeFi-Protokollen.
Das Muster solcher Angriffe ist meist ähnlich: Der Angreifer leiht sich einen großen Betrag per Flash Loan und manipuliert damit Token-Preise auf dezentralen Börsen. Das primäre Einfallstor sind Preisorakel. Viele DeFi-Protokolle nutzen die Preisdaten eines einzelnen Pools (z.B. Uniswap), um den Wert eines Assets zu bestimmen. Wird dieser Pool kurzfristig durch große Trades beeinflusst, liest der Smart Contract einen manipulierten Wert aus und trifft fehlerhafte Entscheidungen.
Beispiel: Ein Kreditprotokoll verwendet den ETH/USDC-Preis eines Uniswap-Pools als Oracle. Ein Angreifer leiht sich 200 Millionen US-Dollar per Flash Loan, verkauft diese im Pool, um den ETH-Preis zu drücken, und leiht sich dann ETH zum künstlich niedrigen Kurs. Nach der Transaktion normalisiert sich der Poolpreis, doch das Protokoll sitzt auf wertlosen Schulden.
Der gesamte Angriff läuft innerhalb einer Transaktion ab – nach 12 Sekunden ist alles vorbei.
Die größten Flash Loan-Exploits
Im Laufe der Jahre wurden die Angriffe immer umfangreicher.
Jahr | Protokoll | Verlust | Angriffsmethode |
2020 | bZx | ~350.000 USD | Preismanipulation über Uniswap/Compound |
2021 | Cream Finance | 130 Mio. USD | Oracle-Manipulation mit mehreren Pools |
2021 | Pancake Bunny | 45 Mio. USD | Flash Loan + Oracle-Exploit |
2023 | 197 Mio. USD | DonateToReserve-Funktionslücke | |
2025 | KiloEx | 7 Mio. USD | Oracle-Manipulation |
2025 | NewGold Protocol | 2 Mio. USD | Inflation der Collateral-Bewertung |
Der Euler Finance-Angriff im März 2023 war der bisher größte bekannte Flash Loan-Exploit. Die gestohlenen Mittel wurden nach Verhandlungen zwischen dem Angreifer und dem Euler-Team zurückgegeben – ein sehr seltener Fall. Euler wurde später nach 31 Sicherheits-Audits als Version 2 erneut gestartet.
Meist jedoch verschwinden die Angreifer mit den Geldern spurlos.
Wie schützen sich Protokolle gegen Flash Loan-Angriffe?
Seit den ersten Angriffen wurden diverse Schutzmechanismen für DeFi-Protokolle entwickelt – neue Protokolle setzen diese meist von Anfang an ein.
TWAP-Orakel: Anstatt auf den aktuellen Preis eines einzelnen DEX-Pools zu setzen, werden Zeitgewichtete Durchschnittspreise über längere Zeiträume (10–30 Minuten) genutzt. Eine Manipulation über viele Minuten ist deutlich teurer als für einen Block.
Multi-Source-Preisfeeds: Chainlink und andere Orakel-Netzwerke aggregieren Preise aus zahlreichen Quellen. Die parallele Nutzung verschiedener Feeds macht eine Einzelpool-Manipulation nahezu wirkungslos.
Circuit Breaker: Smart Contracts können bei ungewöhnlichen Preisbewegungen automatisch pausieren, wenn zum Beispiel ein Preis-Feed deutlich vom Durchschnitt abweicht.
Gut auditierte Protokolle mit moderner Orakel-Infrastruktur sind schwieriger anzugreifen als ältere DeFi-Lösungen. Doch völlige Sicherheit gibt es nicht – mit wachsender Komplexität entstehen neue Angriffsvektoren.
Sind Flash Loans legal?
Flash Loans sind als Funktionalität nicht illegal. Die Nutzung für Arbitrage oder Collateral Management ist vergleichbar mit anderen DeFi-Funktionen. Erst wenn mit Flash Loans gezielt Schwachstellen ausgenutzt werden, kann dies je nach Jurisdiktion als Straftat eingestuft werden. Die Anonymität und technische Komplexität machen die Strafverfolgung jedoch oft schwierig. Nur in Ausnahmefällen wie bei Euler Finance gelang es, gestohlene Mittel zurückzuerhalten.
Das OWASP Smart Contract Security Projekt führt Flash Loan-Angriffe mittlerweile als Top-10-Risiko auf – der Fokus liegt also klar auf technischen Schutzmechanismen.
Was bedeutet das für DeFi-Nutzer?
Auch wer selbst keine Flash Loans nutzt, ist potenziell betroffen, wenn er Liquidität stellt oder Sicherheiten einbringt. Prüfen Sie vor Einzahlungen drei Aspekte: Nutzt das Protokoll Multi-Source-Orakel oder eine einzelne Preisquelle? Wurde es auf Flash Loan-Vektoren geprüft und auditiert? Gibt es Circuit Breaker in den Smart Contracts? Protokolle mit starker Orakel-Infrastruktur und Bug-Bounty-Programmen sind besser geschützt, aber nicht vollkommen immun.
Häufig gestellte Fragen
Kann jeder einen Flash Loan aufnehmen?
Ja, sofern Sie mit Smart Contracts umgehen können. Es werden technische Kenntnisse benötigt, doch es gibt bereits No-Code-Lösungen.
Was passiert, wenn man einen Flash Loan nicht zurückzahlen kann?
Die Blockchain setzt die gesamte Transaktion zurück. Verluste entstehen nur durch gezahlte Netzwerkgebühren. Das Kapital des Kreditgebers ist nie gefährdet, da alles atomar abläuft.
Wie hoch sind die Kosten für einen Flash Loan?
Bei Aave liegt die Gebühr aktuell bei 0,05 %. Ein Flash Loan über 10 Millionen US-Dollar kostet somit 5.000 US-Dollar zuzüglich Gas Fees.
Werden Flash Loan-Angriffe häufiger?
Die Gesamtschäden wachsen mit dem DeFi-Markt, doch bei etablierten Protokollen ist die Zahl erfolgreicher Angriffe dank besserer Orakel weniger geworden. Die meisten Attacken treffen neue, wenig geprüfte Protokolle.
Fazit
Flash Loans verschaffen Nutzern temporär Zugang zu hohen Beträgen und machen DeFi-Märkte effizienter. Sie bergen aber auch Risiken und wurden bereits für Schäden in Höhe von über 500 Millionen US-Dollar genutzt. Moderne Protokolle setzen auf TWAP-Orakel, Multi-Source-Feeds, Circuit Breaker und intensive Audits, um sich zu schützen. Prüfen Sie vor der Einzahlung die Orakel-Lösung Ihres Protokolls – ist nur ein Preisfeed vorhanden, tragen Sie das Risiko.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichen Risiken verbunden. Führen Sie stets eigene Recherchen durch, bevor Sie Handelsentscheidungen treffen.
