Cos(余弦)😶🌫️|2026年02月14日 02:37
OWASP 智能合约 Top 10 漏洞,2026 新版看去更符合实际情况了…我简单解析下:
1. 访问控制漏洞(权限,不仅是针对人的权限,还有合约互操作之间的,跨链消息的等,很痛)
2. 业务逻辑漏洞(增加“业务”两字,审计最关键的挑战点)
3. 价格预言机操纵(痛)
4. 闪电贷辅助攻击(加了个“辅助”两字)
5. 缺乏输入验证(比如危险的 calldata)
6. 未检查的外部调用(比如危险的 delegatecall/call)
7. 算术错误(新增,比如去年的 Balancer v2/Yearn yETH/Truebit 等造成了巨额损失)
8. 重入攻击(这个从 2023 Top1 掉到 2025 Top 5,现在 Top 8,很大原因是防御体系很成熟了)
9. 整数溢出与下溢(溢出确实还没有消失…)
10. 代理与可升级性漏洞(新增,这个其实很常见,比如去年疯狂一波的这个:攻击者利用未初始化的 ERC1967Proxy 合约,抢在部署者之前设置恶意实现合约,然后埋伏,等时机下手。搞了好些项目)
一个稍微复杂点的攻击,其实就是漏洞组合拳利用了。
现在 AI 在迅猛发展阶段,对于攻防双方来说都是挑战,随着安全基建成熟,我预计 8/9/10 未来会趋于下降,然后填补上一些新的漏洞姿势…
@SlowMist_Team(Cos(余弦)😶🌫️)
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接