開放 Web 應(yīng)用程序安全項(xiàng)目 (OWASP) 發(fā)布了備受期待的 2025 年智能合約十大漏洞，這是一份全面的認(rèn)識(shí)文件，旨在讓 Web3 開發(fā)人員和安全團(tuán)隊(duì)掌握對(duì)抗智能合約中最關(guān)鍵漏洞的知識(shí)。

隨著去中心化金融 (DeFi) 和區(qū)塊鏈技術(shù)的不斷發(fā)展，強(qiáng)大的智能合約安全性的重要性從未如此明顯。最新列表反映了不斷發(fā)展的攻擊媒介，并重點(diǎn)介紹了近年來最常被利用或發(fā)現(xiàn)的漏洞。

OWASP 智能合約 Top 10是開發(fā)人員、審計(jì)人員和安全專業(yè)人員的重要資源，可提供對(duì)常見弱點(diǎn)和緩解策略的見解。

它對(duì)其他 OWASP 項(xiàng)目（例如智能合約安全驗(yàn)證標(biāo)準(zhǔn) (SCSVS) 和智能合約安全測試指南 (SCSTG)）進(jìn)行了補(bǔ)充，為保護(hù)區(qū)塊鏈生態(tài)系統(tǒng)提供了整體方法。

2023 年至 2025 年的主要變化

2025 年版根據(jù)現(xiàn)實(shí)世界中的事件和新興趨勢引入了更新的排名和新見解。值得注意的變化包括增加了價(jià)格預(yù)言機(jī)操縱和閃電貸攻擊作為不同的類別，反映了它們?cè)?DeFi 漏洞利用中的日益普遍。

同時(shí)，早期版本中突出的時(shí)間戳依賴性和 Gas 限制問題等漏洞已被替換或集成到邏輯錯(cuò)誤等更廣泛的類別中。

圖片

OWASP 2025 年十大漏洞：

1. 訪問控制漏洞
2. 價(jià)格預(yù)言機(jī)操縱
3. 邏輯錯(cuò)誤
4. 缺乏輸入驗(yàn)證
5. 重入攻擊
6. 未經(jīng)檢查的外部調(diào)用
7. 閃電貸攻擊
8. 整數(shù)上溢和下溢
9. 不安全的隨機(jī)性
10. 拒絕服務(wù) (DoS) 攻擊

主要漏洞的詳細(xì)概述

SC01：訪問控制漏洞

訪問控制缺陷仍然是智能合約財(cái)務(wù)損失的主要原因，僅 2024 年就造成了 9.532 億美元的損失。這些漏洞是由于權(quán)限檢查實(shí)施不當(dāng)而發(fā)生的，允許未經(jīng)授權(quán)的用戶訪問或修改關(guān)鍵功能或數(shù)據(jù)。一個(gè)顯著的例子是 88mph 函數(shù)初始化錯(cuò)誤，它允許攻擊者重新初始化合約并獲得管理權(quán)限。

SC02：價(jià)格預(yù)言機(jī)操縱

操縱價(jià)格預(yù)言機(jī)（智能合約使用的外部數(shù)據(jù)饋送）可能會(huì)破壞協(xié)議的穩(wěn)定性，導(dǎo)致財(cái)務(wù)損失或系統(tǒng)故障。攻擊者經(jīng)常利用設(shè)計(jì)不良的預(yù)言機(jī)機(jī)制來暫時(shí)抬高或壓低資產(chǎn)價(jià)格。

SC03：邏輯錯(cuò)誤

當(dāng)合約無法正確執(zhí)行其預(yù)期功能時(shí)，就會(huì)出現(xiàn)業(yè)務(wù)邏輯漏洞。這些錯(cuò)誤可能導(dǎo)致代幣鑄造不當(dāng)、借貸協(xié)議存在缺陷或獎(jiǎng)勵(lì)分配不正確。

SC04：缺乏輸入驗(yàn)證

未能驗(yàn)證用戶輸入可能允許攻擊者將惡意數(shù)據(jù)注入智能合約，從而導(dǎo)致意外行為或破壞合約邏輯。

SC05：重入攻擊

重入攻擊利用了合約在完成自身狀態(tài)更新之前調(diào)用外部函數(shù)的能力。這一經(jīng)典漏洞在 2016 年的 DAO 黑客事件中被利用，該事件導(dǎo)致價(jià)值 7000 萬美元的以太幣被盜。

SC06：未經(jīng)檢查的外部調(diào)用

當(dāng)智能合約無法驗(yàn)證外部調(diào)用是否成功時(shí)，它們可能會(huì)對(duì)交易結(jié)果做出錯(cuò)誤的假設(shè)。這可能會(huì)導(dǎo)致不一致或被惡意行為者利用。

SC07：閃電貸攻擊

閃電貸允許用戶在單筆交易中無需抵押借入資金，但可被利用來操縱市場或耗盡流動(dòng)性池。

SC08：整數(shù)溢出和下溢

當(dāng)計(jì)算超出數(shù)據(jù)類型限制時(shí)，就會(huì)出現(xiàn)算術(shù)錯(cuò)誤，這可能使攻擊者能夠操縱余額或繞過限制。

SC09：不安全的隨機(jī)性

區(qū)塊鏈的確定性使得生成安全隨機(jī)性變得具有挑戰(zhàn)性?？深A(yù)測的隨機(jī)性可能會(huì)危及彩票、代幣分配或其他依賴隨機(jī)結(jié)果的功能。

SC10：拒絕服務(wù) (DoS) 攻擊

DoS 攻擊針對(duì)智能合約中的資源密集型功能，通過耗盡 gas 限制或計(jì)算資源導(dǎo)致它們失去響應(yīng)。

現(xiàn)實(shí)世界的影響

OWASP 智能合約 Top 10 是根據(jù) SolidityScan 的 Web3HackHub 和 Immunefi 的加密損失報(bào)告等資源中記錄的事件得出的。

僅在 2024 年，就有 149 起記錄在案的事件，這些事件是由于訪問控制缺陷（9.53 億美元）、邏輯錯(cuò)誤（6300 萬美元）和重入攻擊（3500 萬美元）等漏洞造成的，損失超過 14.2 億美元。這些數(shù)字凸顯了區(qū)塊鏈開發(fā)中迫切需要強(qiáng)有力的安全實(shí)踐。

隨著區(qū)塊鏈技術(shù)的成熟，攻擊者利用其漏洞的方法也在不斷增加。2025 年 OWASP 智能合約 Top 10 為旨在保護(hù)去中心化生態(tài)系統(tǒng)免受不斷演變的威脅的開發(fā)人員和安全團(tuán)隊(duì)提供了重要的路線圖。

通過遵守這些準(zhǔn)則并將最佳實(shí)踐融入到從設(shè)計(jì)到部署的每個(gè)開發(fā)階段，Web3 項(xiàng)目可以增強(qiáng)其抵御潛在攻擊的能力，同時(shí)培養(yǎng)用戶和投資者之間的信任。