OWASP Smart Contract Top 10

Die OWASP Smart Contract Top 10 sind ein wichtiges Dokument, das Entwicklern und Sicherheitsexperten im Web3-Bereich dabei helfen soll, die kritischsten Schwachstellen, die häufig in Smart Contracts auftreten, zu verstehen und zu mindern. Diese Initiative baut auf dem traditionellen OWASP Top 10-Rahmenwerk auf, das seit vielen Jahren ein Eckpfeiler der Sicherheit von Webanwendungen ist. Durch die gezielte Fokussierung auf Smart Contracts bietet das Dokument gezielte Einblicke in die einzigartigen Herausforderungen und Bedrohungen von Blockchain-basierten Anwendungen.
Hier sind einige der wichtigsten Aspekte der OWASP Smart Contract Top 10:

1. Zweck: Sensibilisierung und Bereitstellung von Leitlinien zu den häufigsten und schwerwiegendsten Schwachstellen in Smart-Contract-Ökosystemen. Dies dient sowohl Bildungs- als auch praktischen Zwecken und unterstützt Entwickler beim Schreiben von sichererem Code und Sicherheitsteams bei der Identifizierung und Minderung von Risiken.
2. Umfassende Abdeckung: Die Top-10-Liste hebt zwar die kritischsten Schwachstellen hervor, soll aber auch in Verbindung mit anderen Sicherheitsprojekten und -rahmenwerken verwendet werden, um ein umfassenderes Verständnis und eine umfassendere Steuerung der mit Smart Contracts verbundenen Risiken zu gewährleisten.
3. Ressource für Entwickler: Durch die Bereitstellung von Beispielen, potenziellen Abhilfemaßnahmen und Auswirkungen dieser Schwachstellen dient das Dokument als wertvolle Ressource für Entwickler, die Smart Contracts erstellen, einsetzen und warten.
4. Mit dem Ökosystem mitwachsen: Die Bedrohungs- und Sicherheitslandschaft im Blockchain-Bereich entwickelt sich rasant weiter. Die Smart Contract Top 10 zielen darauf ab, durch die kontinuierliche Einbeziehung aktueller Daten und Erkenntnisse sowohl aus Sicherheitsvorfällen als auch aus Fortschritten in der Smart-Contract-Technologie auf dem neuesten Stand zu bleiben.
5. Zusammenarbeit in der Gemeinschaft: OWASP-Projekte profitieren oft von Beiträgen und der Zusammenarbeit in der Gemeinschaft, wodurch sichergestellt wird, dass die Richtlinien die kollektive Erfahrung und das Fachwissen von Entwicklern und Sicherheitsexperten weltweit widerspiegeln.

Änderungen in den Top 10 – 2025 vs. 2023

Top 10 der Schwachstellen im Jahr 2025 nach OWASP

SC01:2025 - Access Control Vulnerabilities

Zugriffskontrollschwachstellen treten auf, wenn nicht autorisierte Benutzer auf die Daten oder Funktionen eines Vertrags zugreifen oder diese ändern können. Diese Schwachstellen entstehen, wenn der Code Berechtigungsprüfungen nicht angemessen durchsetzt, was zu schwerwiegenden Sicherheitsverletzungen führen kann.

SC02:2025 - Preis-Oracle-Manipulation

Price Oracle Manipulation nutzt Schwachstellen in der Art und Weise aus, wie Smart Contracts externe Daten abrufen. Angreifer können Vertragsabläufe beeinflussen, indem sie Oracle-Feeds ändern oder kontrollieren, was zu finanziellen Verlusten oder Systeminstabilität führen kann.

SC03:2025 - Logic Errors

Logikfehler, auch bekannt als Schwachstellen in der Geschäftslogik, treten auf, wenn die Aktionen eines Vertrags von seinem beabsichtigten Design abweichen. Dies kann sich in Problemen wie einer unsachgemäßen Belohnungsverteilung, Problemen bei der Token-Ausgabe oder Fehlern in der Logik für die Kreditvergabe und -aufnahme äußern.

SC04:2025 - Fehlende Eingabevalidierung

Unzureichende Eingabevalidierung kann zu Schwachstellen führen, bei denen ein Angreifer den Vertrag durch die Bereitstellung schädlicher oder unerwarteter Eingaben ausnutzen kann, wodurch möglicherweise die Logik gestört oder unerwartete Verhaltensweisen ausgelöst werden.

SC05:2025 - Reentrancy-Angriffe

Reentrancy-Angriffe nutzen die Möglichkeit aus, eine anfällige Funktion erneut aufzurufen, bevor sie vollständig ausgeführt wurde. Dies kann zu wiederholten Statusänderungen führen, die möglicherweise zu einer Erschöpfung der Vertragsmittel oder einer Unterbrechung der Logik führen.

SC06:2025 - Ungeprüfte externe Aufrufe

Wenn der Erfolg von Aufrufen externer Funktionen nicht überprüft wird, kann dies zu unbeabsichtigten Folgen führen. Wenn der aufgerufene Vertrag fehlschlägt, wird der aufrufende Vertrag möglicherweise fälschlicherweise fortgesetzt, wodurch seine Integrität und Funktionalität gefährdet wird.

SC07:2025 - Flash-Darlehen-Angriffe

Flash-Darlehen können, obwohl sie vorteilhaft sind, missbraucht werden, um Protokolle zu manipulieren, indem mehrere Aktionen innerhalb einer Transaktion ausgeführt werden. Solche Angriffe können zu Liquiditätsengpässen, Preismanipulationen oder Ausbeutung der Geschäftslogik führen.

SC08:2025 - Integer Overflow und Underflow

Arithmetische Fehler durch Überschreiten der Grenzen von Ganzzahlen fester Größe können erhebliche Schwachstellen verursachen, wie falsche Berechnungen oder Token-Diebstahl. Ganzzahlen ohne Vorzeichen werden bei einem Unterlauf umbrochen, während Ganzzahlen mit Vorzeichen zwischen Extremwerten wechseln können.

SC09:2025 - Unsichere Zufälligkeit

Generierung sicherer Zufälligkeit ist in Blockchain-Netzwerken aufgrund ihrer deterministischen Natur eine Herausforderung. Wenn Zufälligkeit vorhersehbar ist oder manipuliert werden kann, kann dies in Bereichen wie Lotterien, Token-Verteilungen oder anderen Funktionen, die auf Zufälligkeit beruhen, zu Ausbeutung führen.

SC10:2025 - Denial-of-Service-Angriffe (DoS)

DoS-Angriffe nutzen Schwachstellen aus, um Vertragsressourcen zu erschöpfen und den Vertrag funktionsunfähig zu machen. Dies kann durch übermäßigen Gasverbrauch in Schleifen oder Funktionsaufrufen geschehen, die den normalen Betrieb des Vertrags stören sollen.

Fazit

Um die aktuellsten Informationen zu erhalten oder einen Beitrag zu den OWASP Smart Contract Top 10 zu leisten, können Sie scs.owasp.org besuchen. Diese Website bietet weitere Details zu laufenden Projekten, zusätzliche Ressourcen und Möglichkeiten, sich in der Community zu engagieren, die an der Verbesserung der Sicherheit von Smart Contracts arbeitet.