Rewards Hub 
Imagina pedir prestados 100 millones de dólares durante exactamente 12 segundos, utilizarlos para generar un rendimiento y devolver cada centavo antes de que alguien note su ausencia. Eso es un flash loan: no requiere garantías, ni verificación de crédito, ni documentación. Solo se necesita código que ejecute una secuencia de operaciones financieras dentro de una sola transacción en la blockchain. Si alguna etapa falla, todo se revierte como si nunca hubiera sucedido. Solo Aave procesó más de $7,5 mil millones en volumen de flash loans durante 2025, y el protocolo superó el billón de dólares en préstamos acumulados en febrero de 2026.
Los flash loans son una de las herramientas más potentes y menos comprendidas en las finanzas descentralizadas. Permiten estrategias legítimas que normalmente requerirían millones en capital inicial, pero también se han utilizado para explotar vulnerabilidades en protocolos. A continuación se explica su funcionamiento, los riesgos reales y su relevancia para los usuarios de DeFi en 2026.
Cómo funciona un Flash Loan paso a paso
En las finanzas tradicionales, pedir dinero prestado requiere garantía, historial crediticio y tiempo. Los flash loans eliminan todo esto. El usuario toma el préstamo y lo devuelve dentro de la misma transacción en la blockchain. Si no se cumple el pago, la blockchain revierte automáticamente la operación. El prestamista no arriesga fondos, ya que el préstamo se completa exitosamente o nunca existió.
Es similar a un banco que viaja en el tiempo: entras, pides 50 millones, los inviertes, obtienes un beneficio, devuelves los 50 millones más una pequeña comisión y sales. Pero si algo sale mal en cualquier momento, el banco "rebobina" el tiempo y el préstamo nunca ocurrió, sin papeleo ni movimiento real de dinero.
El flujo técnico es el siguiente: Un smart contract en Aave (sin enlace disponible en español), dYdX u otro protocolo de préstamos emite el préstamo. El contrato del usuario ejecuta una serie de operaciones (arbitrajes, cambios de colateral, liquidaciones) usando los fondos prestados. Al final de la misma transacción, el contrato paga el préstamo más una comisión (generalmente 0,05% en Aave). Si falta la instrucción de pago o las cifras no cuadran, la Ethereum Virtual Machine revierte todo. Todo ocurre en un bloque, aproximadamente 12 segundos en Ethereum, y pedir 10 millones cuesta cerca de 5.000 dólares en comisiones de protocolo.
Usos reales de los Flash Loans
La mayoría de las transacciones de flash loans no son ataques, y el principal volumen en Aave proviene de tres usos legítimos:
Arbitraje. Un token cotiza a $1,02 en Uniswap y a $0,98 en SushiSwap. Un trader pide prestados $5 millones vía flash loan, compra el token más barato, lo vende en el exchange más caro, obtiene la diferencia y paga el préstamo. Este tipo de arbitraje mejora la eficiencia de los mercados DeFi al cerrar brechas de precios que, de otra forma, requerirían grandes sumas de capital para ser aprovechadas.
Intercambio de colateral. Tienes un préstamo en Aave respaldado por ETH, pero deseas cambiar tu colateral por USDC sin cerrar la posición. Un flash loan permite pagar el préstamo original, liberar tu ETH, depositar USDC como nuevo colateral, volver a pedir prestado y devolver el flash loan en una sola transacción, en vez de realizar múltiples pasos con riesgo de precio.
Auto-liquidación. Si tu préstamo DeFi está cerca del umbral de liquidación, un flash loan permite pagar la deuda, retirar tu colateral, vender parte y conservar el resto. Así evitas la penalización por liquidación (usualmente 5-15% de la posición), que suele ser mayor que la comisión del flash loan.
Cómo funcionan los ataques de Flash Loan
La herramienta en sí es neutral, pero los atacantes la han usado para amplificar exploits que de otra forma requerirían mucho capital. Los ataques con flash loans han causado más de $500 millones en pérdidas acumuladas en protocolos DeFi desde 2020.
El patrón de ataque suele ser similar: el atacante pide una gran cantidad mediante un flash loan y usa ese capital para manipular los precios de tokens en un exchange descentralizado. La vulnerabilidad clave está en los oráculos de precios. Muchos protocolos DeFi dependen de una sola fuente en cadena (como un pool de Uniswap) para determinar el valor de un activo, y si un atacante logra distorsionar temporalmente ese precio, el smart contract del protocolo lee un precio erróneo y toma decisiones desfavorables.
Ejemplo simplificado: Un protocolo de préstamos usa el precio ETH/USDC de un único pool de Uniswap como su oráculo. El atacante pide prestados $200 millones en un flash loan, los deposita en el pool para bajar el precio aparente del ETH, luego pide prestado ETH al protocolo de préstamos a un precio artificialmente bajo. Tras la transacción, el precio del pool se normaliza, pero el atacante se lleva ETH subvaluado y el protocolo queda con deuda incobrable.
Todo el ataque sucede en una sola transacción y, cuando el siguiente bloque se confirma 12 segundos después, ya ha terminado.
Los mayores exploits de Flash Loans
La magnitud de estos ataques ha aumentado con el tiempo.
Año | Protocolo | Pérdida | Método de ataque |
| 2020 | bZx | ~$350K | Manipulación de precio vía Uniswap/Compound |
| 2021 | Cream Finance | $130M | Manipulación de oráculo en múltiples pools |
| 2021 | Pancake Bunny | $45M | Flash loan + exploit de oráculo de precios |
| 2023 | Euler Finance | $197M | Vulnerabilidad en función DonateToReserve |
| 2025 | KiloEx | $7M | Manipulación de oráculo |
| 2025 | NewGold Protocol | $2M | Inflación en valoración de colateral |
El ataque a Euler Finance en marzo de 2023 destaca por ser el mayor exploit individual con flash loan, y porque los fondos robados acabaron siendo devueltos. El atacante negoció con el equipo de Euler mediante mensajes cifrados en la blockchain y devolvió aproximadamente 240 millones de dólares (más que el monto original por la apreciación de precios durante las negociaciones). Euler relanzó posteriormente como v2 tras 31 auditorías de seguridad concluidas.
No todos los casos resultan igual, y la mayoría de los atacantes canalizan fondos a través de mixers como Tornado Cash y desaparecen.
Cómo se defienden los protocolos ante los ataques de Flash Loan
Desde los primeros ataques, el ecosistema DeFi ha desarrollado varias capas de defensa y los protocolos lanzados en 2026 ya los incorporan desde su inicio.
Oráculos TWAP. En lugar de usar el precio puntual de un solo pool, se usan precios promedio ponderados por tiempo, que muestrean el valor de un activo durante intervalos más largos (10-30 minutos). Manipular un precio puntual por un bloque es factible, pero mantenerlo distorsionado durante 30 minutos es extremadamente costoso.
Fuentes de precios múltiples. Chainlink y otras redes de oráculos agregan precios de muchas fuentes, tanto on-chain como off-chain. Un protocolo que consulta Chainlink junto a TWAPs de Uniswap y SushiSwap evita manipulaciones de un único pool.
Cortacircuitos. Los smart contracts pueden pausarse automáticamente si detectan movimientos de precio anormales, deteniendo transacciones si el precio de un oráculo difiere más de un umbral (generalmente 5%) respecto a otros.
Los protocolos bien auditados y con infraestructura moderna de oráculos son más difíciles de explotar. Sin embargo, "más difícil" no significa "imposible" y siguen surgiendo nuevos vectores de ataque conforme DeFi se vuelve más complejo.
¿Son legales los Flash Loans?
Los flash loans en sí mismos no son ilegales; su uso para arbitraje o gestión de colateral es equiparable a otras funciones de DeFi. Son herramientas financieras integradas en smart contracts de código abierto.
El aspecto legal se complica si se usan para explotar vulnerabilidades. En la mayoría de las jurisdicciones, aprovechar una vulnerabilidad para sustraer fondos es delito, independientemente de la herramienta empleada. Sin embargo, la aplicación de la ley es un reto, ya que los ataques se realizan on-chain, a menudo a través de herramientas de privacidad y con atacantes anónimos. Han sido pocos los casos en los que se recuperan fondos, como el de Euler Finance, donde el atacante optó voluntariamente por devolverlos.
El proyecto OWASP Smart Contract Security ya incluye los ataques de flash loans entre los 10 principales riesgos de seguridad de smart contracts, indicando que las defensas a nivel de protocolo son más importantes que confiar en la disuasión legal.
Por qué esto importa para los usuarios de DeFi
No necesitas ejecutar un flash loan para verte afectado. Si brindas liquidez a un protocolo DeFi o aportas colateral en una plataforma de préstamos, el riesgo de flash loan ya forma parte de tu perfil de riesgo.
Antes de depositar fondos en cualquier protocolo DeFi, revisa tres aspectos: ¿utiliza oráculos de múltiples fuentes o solo una fuente on-chain?, ¿ha sido auditado por firmas reconocidas con pruebas específicas para flash loans?, ¿incluye cortacircuitos en sus smart contracts? Protocolos con infraestructura robusta de oráculos y programas activos de recompensas de bugs no son inmunes, pero es menos probable que pierdan tus fondos comparado con proyectos nuevos con una sola auditoría y oráculo único.
Preguntas frecuentes
¿Cualquiera puede pedir un flash loan?
Sí, pero es necesario interactuar o programar smart contracts. Se requiere conocimiento técnico para construir una transacción que tome prestado, ejecute la estrategia y devuelva los fondos en un solo bloque. Existen herramientas sin código que simplifican el proceso, pero los principales usuarios siguen siendo desarrolladores y traders avanzados.
¿Qué pasa si no puedes devolver un flash loan?
Nada. La blockchain revierte toda la transacción como si nunca hubiera ocurrido y solo se pierde la tarifa de gas. Los fondos del prestamista nunca están en riesgo porque el préstamo y su devolución son atómicos.
¿Cuánto cuesta un flash loan?
Aave cobra actualmente un 0,05% por cada flash loan. Por un préstamo de $10 millones, la comisión sería de alrededor de $5.000, más los costos de gas en Ethereum, normalmente entre $50 y $500 según congestión y complejidad.
¿Los ataques de flash loans van en aumento?
Las pérdidas totales han crecido junto con el valor bloqueado en DeFi, pero la tasa de ataques exitosos en protocolos líderes ha disminuido gracias a defensas de oráculos mejoradas. En 2025, la mayoría de los exploits exitosos atacaron protocolos pequeños y nuevos con seguridad débil, no plataformas consolidadas como Aave o Compound.
Conclusión
Los flash loans representan una herramienta poderosa, permitiendo a cualquier desarrollador acceder temporalmente a millones en capital. Han hecho los mercados DeFi más eficientes mediante arbitraje y facilitan la gestión de deuda. Sin embargo, ese poder también ha sido utilizado para explotar protocolos que dependían de un solo oráculo y escasa auditoría, causando más de 500 millones en pérdidas.
El esquema de defensa en 2026 está bien establecido: oráculos TWAP, feeds de Chainlink, cortacircuitos y auditorías rigurosas hacen que los principales protocolos sean mucho más difíciles de vulnerar. Para el usuario de DeFi, el consejo clave es claro: revisa la estructura de oráculos antes de depositar fondos. Si depende de un solo pool para precios, ese riesgo es tuyo, no del atacante.
Este artículo es solo para fines informativos y no constituye asesoramiento financiero ni de inversión. El comercio de criptomonedas implica riesgos significativos. Realiza siempre tu propia investigación antes de operar.
