Что нам говорит OWASP 2026
Вчера был опубликован список (
https://owasp.org/www-project-smart-contract-top-10/) топ 10 уязвимостей смарт контрактов по состоянию на 2026 год
1 место осталось за Access Control Vulnerabilities, писал про эту уязвимость в прошлом году (
https://t.me/web3securityresearch/28)
Манипуляции ценой оракула (
https://t.me/web3securityresearch/27), валидация ввода, реентранси (
https://t.me/web3securityresearch/10) и оверфлоу/андерфлоу сдают позиции. Самое большое падение у реентранси, полагаю что дело в образовательной составляющей + оч много инструментов детектят её без особого труда
Flash loan атаки поднялись на 4 место, как и логические ошибки. Оба вида сменили название, на Flash Loan-Facilitated Attacks и Business Logic Vulnerabilities. Бизнес логика - это пока что та часть, с которой тяжеловато справляться агентам
Из списка пропали Insecure Randomness (спасибо Chainlink VRF) и Denial of Service. Второе может быть связано с двумя обновлениями сети эфира в 2025 году, pectra сделала calldata дороже, так что забивать блок своей транзой тоже стало дороже, fusaka в декабре увеличила размер блока + ограничила максимальный размер транзакции, теперь переполнить блок одной транзой просто нельзя
Два новичка: Arithmetic Errors и Proxy & Upgradability Vulnerabilities.
Arithmetic Errors - то что связано с округлениями и потерей точности, а про атаку через Proxy как раз выходил недавно пост (
https://t.me/web3securityresearch/68)
Есть ощущение, что стоит погрузиться глубже в Arithmetic Errors, то что выше было на слуху и до этого
https://t.me/web3securityresearch
