Rewards Hub 
Imaginez emprunter 100 millions de dollars pendant 12 secondes, les utiliser pour réaliser un profit, puis les rembourser immédiatement, le tout sans garantie, sans vérification de crédit ni formalités. C’est le principe du prêt flash : un smart contract exécute une série d’opérations financières au sein d’une seule transaction blockchain. Si une étape échoue, tout est annulé comme si rien ne s’était passé. En 2025, Aave a traité plus de 7,5 milliards de dollars en volume de prêts flash et le protocole a dépassé le cap du billion de dollars de prêts cumulés en février 2026.
Les prêts flash sont parmi les outils les plus puissants et les plus incompris de la DeFi. Ils permettent des stratégies légitimes qui nécessiteraient normalement des millions en capital initial. Cependant, ils sont aussi utilisés pour exploiter certaines failles de protocoles. Voici comment ils fonctionnent, quels sont les risques réels, et pourquoi tout utilisateur DeFi doit s’y intéresser en 2026.
Fonctionnement d’un prêt flash, étape par étape
Dans la finance traditionnelle, emprunter nécessite une garantie, un historique de crédit et du temps. Le prêt flash supprime ces contraintes : l’emprunt et le remboursement s’effectuent dans la même transaction blockchain. Si le remboursement échoue, tout est annulé automatiquement. Le prêteur ne prend jamais de risque de perte car le prêt aboutit soit à un succès, soit n’a jamais existé.
C’est comme une banque à remonter le temps : vous entrez, empruntez 50 millions de dollars, investissez, récupérez un profit, remboursez la somme plus des frais minimes, puis repartez. Si un problème survient, la banque « remonte dans le temps » et rien n’a eu lieu : aucune formalité, aucun mouvement d’argent.
Techniquement, un smart contract sur Aave, dYdX ou un autre protocole de prêt émet le prêt. Le contrat de l’emprunteur réalise des opérations (arbitrage, swaps de collatéral, liquidations) avec les fonds empruntés. À la fin de la transaction, le prêt plus les frais (environ 0,05 % sur Aave) sont remboursés. En cas d’anomalie ou d’instruction de remboursement manquante, la machine virtuelle Ethereum annule tout. Le tout se passe dans un seul bloc, soit environ 12 secondes sur Ethereum. Emprunter 10 millions coûte environ 5 000 $ de frais de protocole.
À quoi servent les prêts flash ?
La majorité des transactions en prêts flash ne sont pas des attaques. Sur Aave, elles servent essentiellement à trois cas d’usage légitimes :
Arbitrage. Par exemple, un token est coté à 1,02 $ sur Uniswap et 0,98 $ sur SushiSwap. Un trader emprunte 5 millions via un prêt flash, achète le token moins cher, le revend plus cher, empoche la différence et rembourse l’emprunt. Ce type d’arbitrage améliore l’efficacité des marchés DeFi en comblant rapidement les écarts de prix, ce qui serait autrement réservé aux capitaux institutionnels.
Échange de collatéral. Si vous avez un prêt sur Aave adossé à de l’ETH mais souhaitez passer à du USDC sans fermer votre position, un prêt flash permet de rembourser l’emprunt initial, libérer votre ETH, déposer de l’USDC comme nouvelle garantie, réemprunter et rembourser le prêt flash en une seule opération.
Auto-liquidation. Si votre prêt DeFi approche du seuil de liquidation, un prêt flash permet de rembourser la dette, retirer votre collatéral, en vendre une partie et conserver le reste, ce qui évite la pénalité de liquidation (en général 5-15 % de la position), souvent supérieure au coût du prêt flash.
Comment fonctionnent les attaques par prêt flash ?
L’outil est neutre mais peut être utilisé pour amplifier des attaques qui nécessiteraient sinon d’énormes capitaux. Depuis 2020, plus de 500 millions de dollars ont été perdus à cause d’attaques par prêt flash sur divers protocoles DeFi.
Le scénario type : l’attaquant emprunte une somme massive via un prêt flash et manipule le prix d’un token sur un exchange décentralisé. Le point faible est souvent l’oracle de prix : si un protocole s’appuie sur une seule source on-chain (par exemple, un pool Uniswap), un attaquant peut temporairement fausser ce prix à l’aide de grosses transactions, induisant le protocole en erreur sur la valeur de l’actif.
Exemple simplifié : un protocole utilise le prix ETH/USDC sur Uniswap comme oracle. L’attaquant emprunte 200 millions via un prêt flash, inonde le pool pour faire chuter le prix apparent de l’ETH, puis emprunte de l’ETH à bas prix auprès du protocole. Après la transaction, le prix du pool redevient normal, mais le protocole subit une perte.
Toute l’attaque s’effectue en une transaction et, lorsque le bloc est validé 12 secondes plus tard, tout est déjà terminé.
Les plus grands exploits de prêts flash
L’ampleur de ces attaques a évolué avec le temps.
Année | Protocole | Perte | Méthode d’attaque |
| 2020 | bZx | ~350K$ | Manipulation de prix via Uniswap/Compound |
| 2021 | Cream Finance | 130M$ | Manipulation d’oracle sur plusieurs pools |
| 2021 | Pancake Bunny | 45M$ | Prêt flash + exploit d’oracle |
| 2023 | Euler Finance | 197M$ | Vulnérabilité de la fonction DonateToReserve |
| 2025 | KiloEx | 7M$ | Manipulation d’oracle |
| 2025 | NewGold Protocol | 2M$ | Inflation de la valorisation des collatéraux |
L’attaque sur Euler Finance en mars 2023 reste la plus importante à ce jour, même si les fonds ont été retournés par la suite. L’attaquant a négocié avec l’équipe Euler via des messages on-chain chiffrés et a restitué environ 240 millions de dollars (plus que la somme initiale à cause de la variation de prix pendant la négociation). Euler a ensuite relancé le projet en version 2 avec 31 audits de sécurité réalisés.
La majorité des attaques n’ont cependant pas ce dénouement, et les fonds sont souvent blanchis via des outils d’anonymisation tels que Tornado Cash.
Comment les protocoles se protègent contre les attaques par prêt flash
L’écosystème DeFi a mis en place plusieurs défenses depuis les premières attaques, et les protocoles lancés en 2026 intègrent ces mesures dès le départ.
Oracles TWAP. Plutôt que de s’appuyer sur un prix spot unique, les protocoles utilisent des prix moyens pondérés dans le temps, calculés sur plusieurs intervalles (souvent 10 à 30 minutes). Manipuler un prix spot sur un bloc est faisable ; manipuler une moyenne sur 30 minutes devient extrêmement coûteux.
Flux de prix multi-sources. Des réseaux d’oracle comme Chainlink agrègent des prix provenant de dizaines de sources on-chain et off-chain. Un protocole qui consulte simultanément le flux Chainlink, ainsi que les TWAP Uniswap et SushiSwap, est bien mieux protégé.
Interrupteurs (circuit breakers). Certains smart contracts peuvent suspendre automatiquement les opérations en cas de mouvements de prix anormaux, stoppant les transactions si un écart important est détecté entre plusieurs oracles.
Les protocoles bien audités et dotés d’infrastructures modernes sont beaucoup plus difficiles à exploiter que les premiers projets DeFi. Néanmoins, « plus difficile » ne veut pas dire « impossible » et de nouvelles vulnérabilités continuent d’apparaître avec la complexification de DeFi.
Les prêts flash sont-ils légaux ?
En tant qu’outil, le prêt flash n’est pas illégal. Les utiliser pour l’arbitrage ou la gestion de collatéral s’apparente à toute autre fonctionnalité DeFi. Ce sont des outils intégrés à des smart contracts open source.
La question légale se pose en cas d’exploitation de failles : dans la plupart des juridictions, exploiter une vulnérabilité pour dérober des fonds constitue un délit, quel que soit l’outil. Cependant, l’application de la loi est complexe, les attaquants restant souvent anonymes et utilisant des outils de confidentialité. Le cas Euler Finance fait figure d’exception car l’attaquant a choisi de restituer les fonds.
Le projet OWASP Smart Contract Security classe désormais les attaques de prêts flash parmi les 10 principaux risques de sécurité pour les smart contracts, soulignant l’importance des défenses au niveau protocole plutôt que la seule dissuasion légale.
Pourquoi c’est important pour les utilisateurs DeFi
Même sans recourir soi-même aux prêts flash, tout utilisateur qui fournit de la liquidité ou du collatéral à un protocole DeFi est exposé à ce risque.
Avant de déposer sur un protocole DeFi, vérifiez trois points : utilise-t-il des oracles multi-sources ou un simple flux de prix on-chain ? A-t-il été audité sérieusement (y compris sur les risques de prêts flash) ? Son smart contract possède-t-il des interrupteurs ? Les protocoles avec de solides infrastructures d’oracle et des programmes de bug bounty actifs ne sont pas invulnérables, mais risquent moins de pertes qu’un projet tout juste lancé avec un seul audit et un flux de prix unique.
FAQ
Tout le monde peut-il demander un prêt flash ?
Oui, à condition de savoir écrire ou utiliser des smart contracts. Il faut des connaissances techniques pour monter une transaction qui emprunte, exécute la stratégie et rembourse dans le même bloc. Certains outils no-code facilitent le processus, mais les prêts flash restent l’apanage des développeurs et traders expérimentés.
Que se passe-t-il si je ne rembourse pas un prêt flash ?
Dans ce cas, l’intégralité de la transaction est annulée, et seuls les frais de gas sont perdus. Les fonds du prêteur ne sont jamais en danger, car prêt et remboursement sont atomiques : ils réussissent ensemble ou sont tous deux annulés.
Combien coûte un prêt flash ?
Actuellement, Aave facture 0,05 % sur tous les prêts flash. Un prêt flash de 10 millions coûte donc 5 000 $ de frais de protocole, auxquels s’ajoutent les frais de gas, généralement de 50 à 500 $ selon la congestion du réseau et la complexité de la transaction.
Les attaques par prêt flash deviennent-elles plus fréquentes ?
Les pertes totales ont augmenté avec la croissance de la DeFi, mais le taux d’attaques réussies sur les grands protocoles a diminué grâce à de meilleures défenses. La plupart des attaques en 2025 ont visé de nouveaux protocoles moins sécurisés, et non des plateformes établies comme Aave ou Compound.
À retenir
Les prêts flash sont un outil puissant offrant à tout développeur un accès temporaire à de grands capitaux. Ils rendent les marchés DeFi plus efficaces (arbitrage, gestion de dette), mais ont aussi permis des pertes importantes chez les protocoles insuffisamment protégés par des oracles fiables et audits rigoureux.
Les défenses en 2026 sont bien établies : oracles TWAP, flux Chainlink, interrupteurs et audits réguliers renforcent la sécurité. Pour les utilisateurs DeFi, la règle essentielle reste de vérifier la configuration des oracles d’un protocole avant de déposer : s’il dépend d’un seul pool pour ses prix, ce risque vous concerne directement.
Cet article a une vocation purement informative et ne constitue pas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques. Faites vos propres recherches avant toute décision.
