Beranda / owasp

OWASP Smart Contract Top 10 tahun 2025

webmaster


Perubahan OWASP Smart Contract Top 10: Apa yang Berubah di 2023 vs 2025?

Kalau kamu sering dengar tentang OWASP Top 10 untuk aplikasi web, sekarang OWASP juga punya daftar khusus untuk Smart Contract.
Tujuannya sama: memberikan panduan tentang risiko keamanan terbesar yang sering dieksploitasi hacker.

Nah, di tahun 2023 dan 2025, ada perubahan cukup besar pada daftar 10 teratas ini.
Apa saja yang berubah? Dan kenapa penting buat developer blockchain dan praktisi keamanan? Mari kita bahas!

Sekilas: Apa itu OWASP Smart Contract Top 10?

OWASP (Open Worldwide Application Security Project) adalah organisasi internasional yang bikin standar dan panduan keamanan aplikasi.
Untuk dunia blockchain, OWASP merangkum 10 jenis kerentanan paling berbahaya yang sering ditemukan dalam smart contract.

Daftar ini bukan teori doang, tapi berdasarkan insiden nyata, audit keamanan, dan tren serangan terbaru di dunia DeFi (Decentralized Finance).

Perbandingan 2023 vs 2025

OWASP melakukan pembaruan pada daftar Top 10 agar sesuai dengan kondisi terbaru.
Ini gambaran singkatnya:

Risiko yang Tetap Ada

Beberapa kerentanan masih masuk daftar, tapi ada yang naik/turun peringkat:

  • Access Control Vulnerabilities → dari posisi #4 (2023) jadi #1 (2025)
  • Reentrancy Attacks → dari #1 turun ke #5
  • Integer Overflow & Underflow → dari #2 ke #8
  • Unchecked External Calls → dari #10 ke #6
  • Denial of Service (DoS) Attacks → tetap ada, tapi turun ke posisi #10
  • Logic Errors → tetap jadi masalah, di posisi #3
  • Insecure Randomness → masih masuk, turun ke #9

Risiko yang Dihapus

  • Timestamp Dependence
  • Front-running Attacks
  • Gas Limit Vulnerabilities

Artinya, tiga ini sudah dianggap lebih jarang dieksploitasi atau mitigasinya sudah lebih baik.

Risiko Baru di 2025

Nah, ini yang menarik! Ada tiga risiko baru yang muncul di 2025:

  1. Price Oracle Manipulation (#2)
    Hacker memanipulasi harga dari oracle (sumber data eksternal) untuk menguntungkan transaksi mereka.
    📌 Contoh kasus: Tahun 2020, bZx Protocol pernah diserang lewat manipulasi oracle, yang membuat harga token diubah sementara untuk mencuri dana.

  2. Lack of Input Validation (#4)
    Kalau input ke smart contract tidak dicek dengan benar, bisa jadi pintu masuk bug atau exploit.
    📌 Contoh kasus: Pada 2018, BatchOverflow bug di beberapa token ERC20 memungkinkan hacker membuat token dalam jumlah tak terbatas hanya dengan input angka yang salah format.

  3. Flash Loan Attacks (#7)
    Serangan khas DeFi: pinjam aset dalam jumlah besar tanpa jaminan, eksploitasi pasar, lalu kembalikan dalam satu transaksi.
    📌 Contoh kasus: Tahun 2020, Harvest Finance kehilangan sekitar $24 juta karena flash loan exploit yang memanfaatkan ketidakstabilan harga stablecoin.

Inti Perubahan

  • 2023 lebih banyak fokus pada bug teknis klasik → seperti overflow, gas limit, dan timestamp.
  • 2025 lebih menyoroti ancaman DeFi modern → seperti manipulasi harga, flash loan, dan validasi input.
  • Access Control sekarang jadi isu paling besar → artinya, kesalahan otorisasi pengguna masih jadi pintu masuk hacker nomor satu.

Kenapa Penting Buat Kita?

Buat developer smart contract, daftar ini bisa jadi checklist keamanan wajib sebelum rilis produk.
Buat investor atau pengguna DeFi, ini membantu memahami risiko apa saja yang bisa terjadi pada platform yang dipakai.

Kesimpulannya:

Ancaman smart contract terus berkembang. Kalau dulu masalahnya lebih teknis, sekarang serangan makin canggih karena memanfaatkan ekosistem DeFi.

Jadi, buat kamu yang main di dunia blockchain, jangan cuma jago bikin smart contract jalan, tapi juga harus aware sama risiko keamanannya.
Karena di blockchain, satu bug kecil bisa bikin kerugian jutaan dolar!