Cos(余弦)😶‍🌫️
Cos(余弦)😶‍🌫️|2026年02月14日 02:37
OWASP 智能合约 Top 10 漏洞,2026 新版看去更符合实际情况了…我简单解析下: 1. 访问控制漏洞(权限,不仅是针对人的权限,还有合约互操作之间的,跨链消息的等,很痛) 2. 业务逻辑漏洞(增加“业务”两字,审计最关键的挑战点) 3. 价格预言机操纵(痛) 4. 闪电贷辅助攻击(加了个“辅助”两字) 5. 缺乏输入验证(比如危险的 calldata) 6. 未检查的外部调用(比如危险的 delegatecall/call) 7. 算术错误(新增,比如去年的 Balancer v2/Yearn yETH/Truebit 等造成了巨额损失) 8. 重入攻击(这个从 2023 Top1 掉到 2025 Top 5,现在 Top 8,很大原因是防御体系很成熟了) 9. 整数溢出与下溢(溢出确实还没有消失…) 10. 代理与可升级性漏洞(新增,这个其实很常见,比如去年疯狂一波的这个:攻击者利用未初始化的 ERC1967Proxy 合约,抢在部署者之前设置恶意实现合约,然后埋伏,等时机下手。搞了好些项目) 一个稍微复杂点的攻击,其实就是漏洞组合拳利用了。 现在 AI 在迅猛发展阶段,对于攻防双方来说都是挑战,随着安全基建成熟,我预计 8/9/10 未来会趋于下降,然后填补上一些新的漏洞姿势… @SlowMist_Team(Cos(余弦)😶‍🌫️)
+4
曾提及
分享至:

脈絡

熱門快訊

APP下載

X

Telegram

Facebook

Reddit

複製鏈接

熱門閱讀