区块链的安全.pdf

OWASP中国

2019年10月

——区块链安全TOP10——

关于OWASP中国

“开源Web应用安全项目”（OpenWebApplicationSecurityProject，简称

“OWASP”）是一个开放的社区，致力于帮助各企业组织开发、购买和维护可信任的

应用程序。OWASP中国是OWASP安全组织在中国的分部，是全球近250个区域分

部之一。

在OWASP中国，您可以找到以下免费和开源的信息：

应用安全工具和参考标准；

关于应用安全测试、安全代码开发和安全代码审查方面的完整书籍；

演示文稿和视频；

关于常见风险的CheatSheets；

标准的安全控制和安全库；

全国20个区域性分会；

尖端技术研究；

专业的全球会议；

邮件列表。

更多中文信息，请访问：；

更多全球信息，请访问：。

所有的OWASP工具、文档、论坛和全球各地分会都是开放的，并对所有致力于改

进应用程序安全的人士开放。

我们主张将应用程序安全问题看作是人、过程和技术的问题，因为提高应用程序安

全最有效的方法是在这些方面提升。

1/41

——区块链安全TOP10——

OWASP全球和OWASP中国没有商业压力，使得我们能够提供无偏见、实用、低

成本的应用安全信息。尽管OWASP全球和OWASP中国支持合理使用商业安全技术，

但OWASP不隶属于任何技术公司。和许多开源软件项目一样，OWASP以一种协作、

开放的方式制作了许多不同种类的材料。几乎每一个与OWASP中国相关的人都是一名

志愿者，这包括了OWASP中国的主席、副主席、各区域分部负责人、项目负责人和项

目成员。

我们期待您的加入！

2/41

——区块链安全TOP10——

前言

近几年，区块链技术的发展非常迅猛，安全形势也越来越严峻，仅安全事件导致的

直接经济损失就高达35亿美元，很多公司甚至因此倒闭，给行业带来了巨额的经济损

失和惨痛的教训。基于此，OWASP中国成立专门研究小组，收集、整理和分析了2011

年至2019年间共160个典型区块链安全事件，并在本文档中给出了排列和描述，希望

能帮助到广大的区块链从业者和关注区块链安全的人们。

在参考了类似CVSS（CommonVulnerabilityScoringSystem）等安全威胁评估

方法之后，本文以每类威胁历史安全事件所导致的直接经济损失总额为依据，通过客观

数据评估威胁大小。直接经济损失总额包含了威胁评估的两个重要因素，一是威胁发生

的数量（即威胁发生的次数）；二是威胁发生导致的影响（即直接经济损失）。使用直

接经济损失表示威胁的大小的好处是，数据相对客观，避免了主观数据导致评估结果

误差较大问题，同时，这种评估方式更具有良好的解释性。

阅读本文档时需注意以下三点：（1）安全事件导致的经济损失以案件发生时的虚

拟币价格计算；（2）统计分析过程中只计算了直接经济损失，未计算间接经济损失；

（3）24.3%的安全事件（39个）未公布经济损失，因而未计入损失统计。

3/41

——区块链安全TOP10——

致谢