OWASP Unveils Top 10 Smart Contract Vulnerabilities for 2025
2025/01/20 SecurityOnline — Open Web Application Security Project (OWASP) は、2025年において Smart Contract に影響を与え得る、脆弱性の Top-10 リストを更新した。この包括的なドキュメントは、Smart Contract で最重視されるべき脆弱性を特定し、分散型エコシステムのリスクを軽減するためのロードマップを、開発者とセキュリティ専門家に提供するものである。
OWASP Smart Contract Top-10 では、Web3 環境で最も頻繁に悪用される脆弱性が強調されている。それらには、以下のものが含まれる。
Access Control Vulnerabilities (SC01:2025):アクセス制御の欠陥により、権限のないユーザーに対して、コントラクトのデータや機能へのアクセス/変更を許すものであり、深刻なセキュリティ侵害の可能性を生じる。SolidityScan の Web3HackHub によると、2024年において、この問題は $953.2 million の損失をもたらしたという。
Price Oracle Manipulation (SC02:2025):脆弱なデータ・フィードを悪用する攻撃者は、外部データ ソースを改ざんし、プロトコルを不安定化し、経済的な混乱を引き起こせる。
Logic Errors (SC03:2025):ビジネス・ロジックのミスは、依然としてコストを要する問題であり、不適切なトークンの鋳造/欠陥のある貸付ロジック/誤った報酬分配などにつながる。
Reentrancy Attacks (SC05:2025):これらの問題により、脆弱な機能への契約の再入という悪用が成立する。多くのケースにおいて、資金の枯渇やロジックの破損につながる。このような攻撃により、2024年において、$35.7 million の損失が発生した。
Flash Loan Attacks (SC07:2025):これらの攻撃は、無担保ローンを悪用してプロトコルを操作するものであり、流動性とトークンの価格設定メカニズムに大混乱をもたらす。
その他の深刻な脆弱性として挙げられるのは、整数オーバーフローとアンダーフロー (SC08:2025)/安全が確保されないランダム性 (SC09:2025)/サービス拒否攻撃 (SC10:2025) である。
完全なリストと詳細な推奨事項については、OWASP Smart Contract Security Project を参照して欲しい。
Smart Contract 2025 脆弱性 Top-10 が、OWASP から提供されました。このような切り口でも、分析を行っているのですね。大したものです。よろしければ、OWASP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.