SINGAPŪRA, Singapūra, 2026. gada 17. februāris, CyberNewswire
OWASP viedo līgumu drošības projekts ir izlaidis OWASP Smart Contract Top 10 2026. gadā — riska prioritāšu noteikšanas sistēmu, kas izstrādāta no reālās pasaules izmantošanas datu strukturētas analīzes, kas novērota blokķēdes ekosistēmās 2025. gadā.
Kriptoprotokolos 2025. gadā turpinājās būtiskas viedo līgumu kļūmes, un izmantošanas modeļi arvien vairāk norāda uz strukturālām nepilnībām, nevis atsevišķām kļūdām.
CredShields vadīja ekspluatācijas modeļu apkopošanu aiz ranga, iekļaujot ietekmes svērtos signālus no ražošanas incidentiem, kas novēroti decentralizētās finansēs, starpķēžu infrastruktūrā un jaunināmās sistēmās.
Novērotie protokola kļūmju modeļi
2026. gada top 10 izceļ kļūmju klases, kas atkārtoti novērotas dzīvā vidē:
- Piekļuves kontroles nepareiza konfigurācija
- Biznesa loģikas invariantu kļūme
- Oracle atkarības risks
- Zibspuldzes aizdevuma pastiprināšana
- Jaunināšana un starpniekservera ekspozīcija
2025. gada incidentos uzbrucēji bieži izmantoja:
- Atklātas administratora atslēgas
- Trauslas pārvaldības atļaujas
- Šķērsķēdes laika spraugas
- Ekonomiskā modeļa vājās vietas
Līgumi, kas tika izpildīti, kā paredzēts, bet pretrunīgi apstākļi atklāja slēptus pieņēmumus.
Drošībai ir jāpārvietojas uz augšu
2026. gada reitings mudina komandas integrēt riska modelēšanu agrākā izstrādes cikla posmā, tostarp:
- Uz lomu balstīta atļauju apstiprināšana
- Jaunināšanas ceļa simulācija
- Oracle atkarības stresa pārbaude
- Automatizēta CI/CD izpilde
- Invariantu vadīta dizaina apskats
Ar audita nokārtošanu nepietiek. Ražošanas noturības nodrošināšanai pirms izvietošanas ir jāmodelē pretēja uzvedība.
Draudi modeļa paplašināšana
Atzīstot, ka daži no lielākajiem zaudējumiem 2025. gadā radās no operatīviem uzbrukuma vektoriem, laidienā ir iekļauti arī alternatīvie 15 populārākie Web3 uzbrukuma vektori, kas aptver pārvaldības ļaunprātīgu izmantošanu, vairāku zīmju kompromisus un infrastruktūras līmeņa draudus.
Pilna OWASP viedā līguma Top 10: 2026 sistēma un atbalsta dati ir pieejami, izmantojot OWASP viedo līgumu drošības projektu.
Par OWASP
Open Worldwide Application Security Project (OWASP) ir bezpeļņas organizācija, kuras mērķis ir uzlabot programmatūras drošību, izmantojot atvērtos standartus un kopienas vadītu pētniecību. Tā Smart Contract drošības projekts izstrādā praktiskus ietvarus, lai palīdzētu izstrādātājiem un drošības komandām izprast un mazināt izplatītās blokķēdes ievainojamības.
Par CredShields
CredShields ir drošības pētījumu un produktu uzņēmums, kas koncentrējas uz viedo līgumu un blokķēdes infrastruktūras noturības stiprināšanu. Izmantojot savas platformas, tostarp SolidityScan un Web3HackHub, CredShields nodrošina izlūkošanas informāciju, automatizētu ievainojamību noteikšanu un strukturētu riska modelēšanu, lai palīdzētu izstrādes komandām pirms izvietošanas identificēt trūkumus.
Sazināties
CredShields
[email protected]
