OWASP スマートコントラクト Top 10 2025

Last updated 4 months ago

OWASP スマートコントラクト Top 10 (2025) は、Web3 開発者とセキュリティチームにスマートコントラクトで発見された上位 10 の脆弱性についての洞察を提供する標準的な案内ドキュメントです。

タイトル

説明

SC01 - アクセス制御の脆弱性 (Access Control Vulnerabilities)

アクセス制御の欠陥は、認可されていないユーザーがコントラクトのデータや機能にアクセスしたり変更することを可能にします。このような脆弱性は、コードが適切な権限チェックを実施しない場合に発生し、深刻なセキュリティ侵害につながる可能性があります。

SC02 - 価格オラクル操作 (Price Oracle Manipulation)

価格オラクル操作は、スマートコントラクトが外部データを取得する方法についての脆弱性を悪用します。オラクルフィードを改竄したり制御することで、攻撃者はコントラクトロジックに影響を及ぼし、金銭的損失やシステムの不安定化を招く可能性があります。

SC03 - ロジックエラー (Logic Errors)

ロジックエラー、つまりビジネスロジックの脆弱性は、コントラクトの動作が意図した機能から逸脱する場合に発生します。例としては、報酬分配の誤り、トークン鋳造の問題、貸借ロジックの欠陥などがあります。

SC04 - 入力バリデーションの欠如 (Lack of Input Validation)

入力バリデーションが不十分だと、攻撃者が有害な入力や予期しない入力を提供することでコントラクトを操作し、ロジックを破壊したり予期しない動作を引き起こす脆弱性につながる可能性があります。

SC05 - 再入攻撃 (Reentrancy Attacks)

再入攻撃は、脆弱な関数の実行を完了する前にその関数に再入する能力を悪用します。これは繰り返し状態を変更し、コントラクト資金を枯渇したりロジックを破壊することにつながることがよくあります。

SC06 - チェックされていない外部呼び出し (Unchecked External Calls)

外部関数呼び出しの成功を検証しないと、意図しない結果を招く可能性があります。呼び出されたコントラクトが失敗すると、呼び出したコントラクトが誤って続行し、完全性と機能性を損なう可能性があります。

SC07 - フラッシュローン攻撃 (Flash Loan Attacks)

フラッシュローンは便利ですが、単一のトランザクションで複数のアクションを実行することで、プロトコルを操作するために悪用される可能性があります。このような攻撃は流動性の枯渇、価格の改変、ビジネスロジックの悪用につながることがよくあります。

SC08 - 整数オーバーフローとアンダーフロー (Integer Overflow and Underflow)

固定サイズ整数の制限を超えることによる算術エラーは、計算の誤りやトークンの窃取などの重大な脆弱性につながる可能性があります。符号なし整数はアンダーフローでラップアラウンドしますが、符号付き整数は両極端の間でフリップします。

SC09 - 安全でないランダム性 (Insecure Randomness)

ブロックチェーンネットワークの決定論的な性質により、安全なランダム性を生成することは困難です。予測可能または操作可能なランダム性は、宝くじ、トークン配布、その他のランダム性に依存する機能での悪用につながる可能性があります。

SC10 - サービス拒否 (DoS) 攻撃 (Denial of Service (DoS) Attacks)

DoS 攻撃は脆弱性を悪用してコントラクトリソースを使い果たし、コントラクトを機能不能にします。例としては、ループでの過剰なガス消費や、通常のコントラクト操作の妨害するように設計された関数呼び出しなどがあります。

Web3HackHub は 2011 年以降の侵害を記録しており、進化する攻撃方法、巧妙化するエクスプロイト、各インシデントから得られた教訓を分析できます。

2024 年の Web3HackHub の主なハイライトは以下のとおりです:

SolidityScan の Web3HackHub と Kacherginsky の "Top 10 DeFi Attack Vectors - 2024" の両方のデータを統合することで、2025 年のランキングに包括的な根拠を提供できました。

Last updated 4 months ago