（OWASP）区块链安全TOP10

OWASP项目 区块链安全TOP10
项目组长：付山阳
项目组成员：Kevin Gu、候欣杰、王颉（排名不分先后，按姓氏拼音排列）
RC1 文档下载：区块链安全TOP10 2019_RC1

近几年，区块链技术的发展非常迅猛，安全形势也越来越严峻，仅安全事件导致的直接经济损失就高达35亿美元，很多公司甚至因此倒闭，给行业带来了巨额的经济损失和惨痛的教训。基于此，OWASP中国成立专门研究小组，收集、整理和分析了2011年至2019年间共160个典型区块链安全事件，并在本文档中给出了排列和描述，希望能帮助到广大的区块链从业者和关注区块链安全的人们。

在参考了类似CVSS（Common Vulnerability Scoring System）等安全威胁评估方法之后，本文以每类威胁历史安全事件所导致的直接经济损失总额为依据，通过客观数据评估威胁大小。

直接经济损失总额包含了威胁评估的两个重要因素，

• 一是威胁发生的数量，即，威胁发生的次数；
• 二是威胁发生导致的影响，即，直接经济损失。

所以，直接经济损失足以表示威胁的大小，且数据相对客观，避免了主观数据导致评估结果误差较大问题，同时，该评估方式更具有良好的解释性。

阅读本文档时需注意以下三点：
（1）安全事件导致的经济损失以案件发生时的虚拟币价格计算；
（2）统计分析过程中只计算了直接经济损失，未计算间接经济损失；
（3）24.3%的安全事件（39个）未公布经济损失，因而未计入损失统计。

区块链安全TOP10

1）高级可持续威胁
2）失控的币值通胀
3）失效的权限控制
4）不安全的共识协议
5）考虑不充分的程序逻辑
6）不严谨的业务策略
7）校验不严格的交易逻辑
8）脆弱的随机数机制
9）存在缺陷的激励机制
10）日志记录和监控不足

主编在研究区块链安全的过程中，发现并没有权威的指导性安全文档，所以联合了各区块链安全公司和各一线企业的安全专家，一起给出了区块链安全的Top10，由于作者们时间和水平有限，如有任何错误的地方，或者更好的方案，请立即联系（项目组邮箱：project@owasp.org.cn），我们可以不断改进和提升文档的质量。