Flash loan adalah jenis pinjaman unik yang hanya ada di DeFi: Anda bisa meminjam jutaan dolar tanpa agunan (uncollateralized), menggunakannya untuk berbagai operasi, dan mengembalikannya — semua dalam satu transaksi blockchain. Jika dana tidak dikembalikan dalam transaksi yang sama, seluruh transaksi dibatalkan seolah tidak pernah terjadi. Ini dimungkinkan oleh sifat atomik dari smart contract.
Cara Kerja
Sifat atomik transaksi blockchain:
Di Ethereum, sebuah transaksi adalah “semua atau tidak sama sekali.” Semua operasi dalam satu transaksi dieksekusi bersamaan — jika satu langkah gagal, seluruh transaksi di-revert.
Flash loan memanfaatkan ini:
- Pinjam — smart contract flash loan meminjamkan dana (misalnya $10 juta USDC dari Aave)
- Gunakan — dalam satu transaksi yang sama, lakukan operasi: arbitrase, likuidasi, swap, dll.
- Kembalikan — kembalikan dana + fee (biasanya 0.05–0.09%) ke protokol
- Selesai — jika langkah 3 gagal, seluruh transaksi di-revert, dana kembali ke pool seperti semula
Contoh use case sah — arbitrase:
- ETH dijual di DEX A seharga $2.000
- ETH dijual di DEX B seharga $2.050
- Flash loan $2 juta dari Aave → beli ETH di DEX A → jual di DEX B → kembalikan pinjaman + fee → profit selisih
Semua ini terjadi dalam satu blok Ethereum (~12 detik).
Sejarah
Flash loan diperkenalkan oleh Aave (sebelumnya ETHLend) pada Januari 2020. Dua bulan kemudian, terjadi serangan flash loan pertama yang terkenal terhadap bZx Protocol, di mana penyerang mengeksploitasi oracle harga yang lemah untuk mendapat $360.000 profit tanpa modal. Sejak itu, flash loan menjadi senjata standar dalam toolkit attacker DeFi.
Flash Loan Attacks
Flash loan sendiri bukanlah exploit — ini adalah fitur sah. Tapi ia telah digunakan sebagai enabler untuk berbagai serangan:
Oracle manipulation attack:
Penyerang meminjam sejumlah besar token → manipulasi harga di DEX kecil yang digunakan sebagai price oracle oleh protokol lain → eksploitasi protokol yang mengira harga palsu adalah harga nyata → kembalikan pinjaman + profit besar
Governance attack:
Flash loan digunakan untuk meminjam governance token dalam jumlah besar → vote untuk proposal berbahaya → kembalikan token (proposal sudah lolos)
Serangan flash loan terbesar:
- Pancake Bunny (2021) — $45 juta
- Cream Finance (2021) — $130 juta
- Euler Finance (2023) — $197 juta (sebagian dikembalikan)
Kesalahpahaman Umum
“Flash loan selalu digunakan untuk hack.”
Mayoritas penggunaan flash loan adalah legitimate: arbitrase, likuidasi posisi under-collateralized, refinancing pinjaman, dan operasi DeFi yang efisien. Attacker menggunakan flash loan sebagai alat, bukan flash loan itu sendiri yang berbahaya.
“Flash loan berbahaya karena memungkinkan orang tanpa modal untuk memanipulasi pasar.”
Ini lebih akurat, tapi akar masalahnya adalah protokol yang menggunakan oracle harga yang mudah dimanipulasi — bukan flash loan. Protokol yang menggunakan TWAP (Time-Weighted Average Price) atau oracle yang tidak bisa dimanipulasi dalam satu blok jauh lebih aman.
Kritik
Flash loan memperlihatkan betapa rapuhnya banyak protokol DeFi yang dibangun dengan asumsi bahwa tidak ada aktor yang bisa memiliki likuiditas masif tanpa modal. Ini telah mendorong standar keamanan yang lebih baik, tapi juga menunjukkan bahwa DeFi masih dalam fase eksperimental dengan risiko sistemik yang signifikan.
Sentimen Media Sosial
Flash loan sering muncul di berita kripto Indonesia dalam konteks hack: “Protokol DeFi kehilangan $X juta akibat serangan flash loan.” Bagi sebagian besar pengguna ritel Indonesia, flash loan lebih dikenal sebagai “tool hacker” daripada alat DeFi yang sah. Di komunitas developer Indonesia yang mulai mengeksplorasi Solidity/smart contract, flash loan menjadi topik yang sangat diminati untuk dipelajari.