@ramilmust

Что нам говорит OWASP 2026 Вчера был опубликован список (https://owasp.org/www-project-smart-contract-top-10/) топ 10 уязвимостей смарт контрактов по состоянию на 2026 год 1 место осталось за Access Control Vulnerabilities, писал про эту уязвимость в прошлом году (https://t.me/web3securityresearch/28) Манипуляции ценой оракула (https://t.me/web3securityresearch/27), валидация ввода, реентранси (https://t.me/web3securityresearch/10) и оверфлоу/андерфлоу сдают позиции. Самое большое падение у реентранси, полагаю что дело в образовательной составляющей + оч много инструментов детектят её без особого труда Flash loan атаки поднялись на 4 место, как и логические ошибки. Оба вида сменили название, на Flash Loan-Facilitated Attacks и Business Logic Vulnerabilities. Бизнес логика - это пока что та часть, с которой тяжеловато справляться агентам Из списка пропали Insecure Randomness (спасибо Chainlink VRF) и Denial of Service. Второе может быть связано с двумя обновлениями сети эфира в 2025 году, pectra сделала calldata дороже, так что забивать блок своей транзой тоже стало дороже, fusaka в декабре увеличила размер блока + ограничила максимальный размер транзакции, теперь переполнить блок одной транзой просто нельзя Два новичка: Arithmetic Errors и Proxy & Upgradability Vulnerabilities. Arithmetic Errors - то что связано с округлениями и потерей точности, а про атаку через Proxy как раз выходил недавно пост (https://t.me/web3securityresearch/68) Есть ощущение, что стоит погрузиться глубже в Arithmetic Errors, то что выше было на слуху и до этого https://t.me/web3securityresearch

0 reply

0 recast

1 reaction