El Top 10 de contratos inteligentes de OWASP (2025) es un documento de concientización estándar que brinda a los desarrolladores y equipos de seguridad de Web3 información sobre las 10 principales vulnerabilidades encontradas en los contratos inteligentes.
Sirve como referencia para garantizar que los contratos inteligentes estén protegidos contra las debilidades más críticas explotadas o descubiertas en los últimos años. El Top 10 de contratos inteligentes se puede utilizar junto con otros proyectos de seguridad de contratos inteligentes para garantizar una cobertura integral de los riesgos.
Top 10 de contratos inteligentes de OWASP (2025)
| Título | Descripción |
|---|---|
| SC01 – Vulnerabilidades de Control de Acceso | Las fallas de control de acceso permiten que usuarios no autorizados accedan o modifiquen los datos o funciones de un contrato. Estas vulnerabilidades surgen cuando el código no aplica las verificaciones de permisos adecuadas, lo que puede llevar a graves brechas de seguridad. |
| SC02 – Manipulación de Oráculos de Precios | La manipulación de oráculos de precios explota vulnerabilidades en cómo los contratos inteligentes obtienen datos externos. Al alterar o controlar las fuentes de oráculos, los atacantes pueden afectar la lógica del contrato, resultando en pérdidas financieras o inestabilidad del sistema. |
| SC03 – Errores de Lógica | Los errores de lógica ocurren cuando el comportamiento de un contrato se desvía de su funcionalidad prevista. Ejemplos incluyen distribución incorrecta de recompensas, problemas de acuñación de tokens o lógica defectuosa en préstamos. |
| SC04 – Falta de Validación de Entrada | La validación insuficiente de entradas puede llevar a vulnerabilidades donde un atacante puede manipular el contrato proporcionando entradas dañinas o inesperadas, potencialmente rompiendo la lógica o causando comportamientos inesperados. |
| SC05 – Ataques de Reentrada | Los ataques de reentrada explotan la capacidad de volver a ingresar a una función vulnerable antes de que su ejecución esté completa. Esto puede llevar a cambios de estado repetidos, a menudo resultando en fondos drenados del contrato o lógica rota. |
| SC06 – Llamadas Externas no Verificadas | No verificar el éxito de las llamadas a funciones externas puede resultar en consecuencias no deseadas. Cuando una función llamada falla, el contrato que llama puede proceder incorrectamente, poniendo en riesgo la integridad y funcionalidad. |
| SC07 – Ataques de Préstamos Flash | Los préstamos flash, aunque útiles, pueden ser explotados para manipular protocolos ejecutando múltiples acciones en una sola transacción. Estos ataques a menudo resultan en liquidez drenada, precios alterados o lógica de negocio explotada. |
| SC08 – Desbordamiento y Subdesbordamiento de Enteros | Los errores aritméticos debido a exceder los límites de enteros de tamaño fijo pueden llevar a vulnerabilidades graves, como cálculos incorrectos o robo de tokens. Los enteros sin signo se envuelven en subdesbordamiento, mientras que los enteros con signo alternan entre extremos. |
| SC09 – Aleatoriedad Insegura | Debido a la naturaleza determinista de las redes blockchain, generar aleatoriedad segura es un desafío. La aleatoriedad predecible o manipulable puede llevar a la explotación en loterías, distribuciones de tokens u otras funcionalidades dependientes de la aleatoriedad. |
| SC10 – Ataques de Denegación de Servicio (DoS) | Los ataques DoS explotan vulnerabilidades para agotar los recursos del contrato, volviéndolo no funcional. Ejemplos incluyen consumo excesivo de gas en bucles o llamadas a funciones diseñadas para interrumpir la operación normal del contrato. |
Visite scs.owasp.org para obtener más detalles sobre los proyectos de seguridad de contratos inteligentes de OWASP.
Fuente y redacción: segu-info.com.ar
