OWASP发布2025年智能合约漏洞TOP10

2025年1月21日，OWASP发布了《2025年智能合约十大漏洞》报告。相比早期版本，新版榜单新增了 “价格预言机操纵”与“闪电贷攻击”两个独立的漏洞类别，同时将早期版本里的 “时间戳依赖”“Gas 限制问题” 等漏洞类型融入到更为宽泛的 “逻辑错误” 之中。具体十大漏洞分别是访问控制漏洞、价格预言机操纵漏洞、逻辑错误漏洞、缺乏输入验证漏洞、重入攻击漏洞、未经检查的外部调用漏洞、闪电贷攻击漏洞、整数上溢和下溢漏洞、不安全的随机性漏洞、拒绝服务 (DoS) 攻击漏洞。新榜单编制基于对真实事件的深度剖析，这些事件被详实记录在《加密货币损失报告》等资料中。以 2024 年为例，有据可查的事件多达 149 起，由此带来的经济损失超过 14.2 亿美元，其中访问控制漏洞9.53亿美元、逻辑错误6300万美元，重入攻击3500万美元。这一现状警示着 Web3 项目必须提升自身对潜在漏洞的防范与抵御能力。