Az OWASP közzétette a Smart Contract Top 10 2026 listát, amely a Web3, DeFi, NFT és blokklánc-alapú alkalmazások legfontosabb okosszerződés-kockázatait rangsorolja.
A 2026-os lista előretekintő jellegű: a 2025-ös incidensek, sérülékenységi adatok és szakértői visszajelzések alapján jelzi, mely hibák lesznek várhatóan a legkritikusabbak.
OWASP Smart Contract Top 10 2026 lista
| Helyezés | Azonosító | Sérülékenység |
|---|---|---|
| 1. | SC01:2026 | Access Control Vulnerabilities |
| 2. | SC02:2026 | Business Logic Vulnerabilities |
| 3. | SC03:2026 | Price Oracle Manipulation |
| 4. | SC04:2026 | Flash Loan–Facilitated Attacks |
| 5. | SC05:2026 | Lack of Input Validation |
| 6. | SC06:2026 | Unchecked External Calls |
| 7. | SC07:2026 | Arithmetic Errors |
| 8. | SC08:2026 | Reentrancy Attacks |
| 9. | SC09:2026 | Integer Overflow and Underflow |
| 10. | SC10:2026 | Proxy & Upgradeability Vulnerabilities |
1. Access Control Vulnerabilities
A hozzáférés-kezelési hibák továbbra is az első helyen állnak. Ezek akkor fordulnak elő, amikor illetéktelen felhasználók vagy szerepkörök képesek privilegizált funkciókat meghívni, például pénzeszközöket mozgatni, jogosultságokat módosítani vagy szerződéseket frissíteni.
Kiemelt védekezés:
- jól bevált könyvtárak használata, például OpenZeppelin Ownable vagy AccessControl
- admin szerepkörök minimalizálása
- multisig vagy governance alapú jogosultságkezelés
- upgrade folyamatok naplózása és monitorozása
- initializer funkciók lezárása
2. Business Logic Vulnerabilities
A 2026-os lista egyik legfontosabb változása, hogy az üzleti logikai hibák a második helyre kerültek. Ezek nem feltétlenül klasszikus kódhibák, hanem a protokoll működési szabályainak, gazdasági modelljének vagy ösztönzőrendszerének hibás megtervezéséből erednek.
Példák:
- hibás jutalmazási logika
- rosszul működő likvidációs mechanizmus
- hibás lending vagy AMM szabály
- nem várt gazdasági ösztönzők
Kiemelt védekezés:
- gazdasági modellezés
- invariánsok tesztelése
- fuzzing
- formális verifikáció
- limitált bevezetés új stratégiák esetén
3. Price Oracle Manipulation
Az oracle manipuláció akkor történik, amikor a támadó befolyásolja a protokoll által használt árfolyam-adatokat. Ez alulfedezett hitelezéshez, hibás likvidációhoz vagy rosszul árazott swapokhoz vezethet.
Védekezés:
- több árforrás használata
- TWAP alkalmazása
- elavult árfolyamok elutasítása
- alacsony likviditású poolok kerülése
- circuit breaker mechanizmusok
4. Flash Loan–Facilitated Attacks
A flash loan támadások nagy, fedezet nélküli kölcsönöket használnak arra, hogy egy kisebb hibát egyetlen tranzakción belül jelentős pénzügyi veszteséggé nagyítsanak.
Védekezés:
- flash loan jelenlétével számoló tervezés
- tranzakciónkénti limitek
- pozícióméret-korlátok
- slippage limitek
- flash loan szimulációk
5. Lack of Input Validation
A bemeneti validáció hiánya akkor jelent problémát, amikor a szerződés nem ellenőrzi megfelelően a felhasználói, adminisztrátori vagy cross-chain adatokat.
Védekezés:
- címek, összegek, díjak és konfigurációk ellenőrzése
- nem nulla címek kikényszerítése
- szélsőértékek tesztelése
- admin inputok validálása
- cross-chain üzenetek ellenőrzése
6. Unchecked External Calls
A külső szerződések hívása mindig kockázatos. Egy rosszul kezelt külső hívás reentrancy hibához, inkonzisztens állapothoz vagy sikertelen tranzakciók figyelmen kívül hagyásához vezethet.
Védekezés:
- checks-effects-interactions minta
- SafeERC20 használata
- pull payment megközelítés
- low-level call kerülése
- visszatérési értékek ellenőrzése
7. Arithmetic Errors
A kerekítési, skálázási és precizitási hibák különösen veszélyesek DeFi protokollokban, ahol kis eltérések ismételt tranzakciókkal nagy veszteséggé alakíthatók.
Védekezés:
- jól dokumentált kerekítési szabályok
- fixed-point math könyvtárak
- fuzz testing
- share/value arányok ellenőrzése
- edge case tesztek
8. Reentrancy Attacks
A reentrancy továbbra is fontos kockázat, bár a 2026-os listán hátrébb került. Ilyenkor a támadó egy külső híváson keresztül újra belép a szerződésbe, mielőtt az állapotfrissítés lezárulna.
Védekezés:
- ReentrancyGuard
- checks-effects-interactions
- külső callbackek ellenőrzése
- ERC-777, ERC-4626 hookok vizsgálata
- cross-function reentrancy tesztek
9. Integer Overflow and Underflow
Bár a Solidity 0.8+ már alapértelmezett overflow ellenőrzést tartalmaz, a hiba továbbra is releváns más környezetekben, illetve unchecked blokkokban.
Védekezés:
- unchecked arithmetic kerülése
- explicit ellenőrzések
- szélsőérték-tesztek
- biztonságos matematikai könyvtárak
- nem EVM láncok saját overflow szabályainak ismerete
10. Proxy & Upgradeability Vulnerabilities
Új kategóriaként jelent meg a proxy és upgradeability sérülékenységek köre. Ez azt mutatja, hogy a frissíthető okosszerződések ma már külön kockázati osztályt képviselnek.
Védekezés:
- OpenZeppelin proxy minták használata
- initializer guard alkalmazása
- implementation contract lezárása
- multisig és timelock az upgrade-ekhez
- storage layout ellenőrzése
- upgrade runbook készítése
Mi változott 2025-höz képest?
A legfontosabb változások:
- a Business Logic Vulnerabilities feljött a 2. helyre
- a Flash Loan támadások a 7. helyről a 4. helyre kerültek
- új kategória lett az Arithmetic Errors
- új kategória lett a Proxy & Upgradeability Vulnerabilities
- az Insecure Randomness és a Denial of Service kikerült a Top 10-ből
Összegzés
Az OWASP 2026-os Smart Contract Top 10 listája azt mutatja, hogy a Web3 biztonság súlypontja eltolódott. Már nem csak klasszikus kódhibákról van szó, hanem gazdasági logikáról, governance-ről, upgrade folyamatokról, oracle függőségekről és komplex többtranzakciós támadási láncokról.
A legfontosabb üzenet: az okosszerződés-biztonságot nem az audit végén kell hozzáadni, hanem már a protokolltervezés első szakaszában be kell építeni.





