前言

区块链的泡沫热潮已经褪去，真正还留下来的就是研究技术的了，一直有挖洞的想法，那首先得了解有什么漏洞，具体哪些类型，如何定义危害程度都是亟待知晓的问题，此文就我自己整理了解的区块链漏洞类型做个分类汇总，不足之处还望大佬不吝赐教。

以下按照漏洞危害程度：低危、中危、高危、严重；以及漏洞类型双线分类叙述。

正文

最无脑的也在黑产圈相当常见的就是短信接口滥用类漏洞，这类漏洞只是低危，多用来作为短信轰炸机的接口，
For instance :

全球著名的数字货币交易所OKEX的短信接口滥用，通过拦截发送请求，确认发送端口值，对behavior值进行遍历（跑字典），进行枚举实现短信接口的滥用，达到短信轰炸的效果，已经见多不多了，不多赘述；
 

低危的还有威胁情报类的，我把它归结为社工形式，案例有：利用币安 Binance 诈骗BTC；
这种手段通常都是钓鱼，也是很常见的了，谨防空投等活动诱惑，时刻确认网址是否正确，及官方认证，以下为虚构的钓鱼案例：

庆祝“币安”推出DEX，向全球粉丝赠送5000 BTC作为回馈，参与活动用户需要先验证地址，验证时需发送0.1-10BTC到指定贡献地址，然后将获得贡献BTC数量10倍的BTC返回。

POST / hashrate /购买HTTP / 1.1
主持人：www.mcc.top
内容长度：50
接受：* / *
来源：http：//www.mcc.top
X-Requested-With：XMLHttpRequest
User-Agent：略
内容类型：application / x-www-form-urlencoded; 
字符集= UTF-8
Accept-Encoding：gzip，deflate
Accept-Language：zh-CN，zh; q = 0.9
Cookie：略
连接：关闭
hashrate_id = 60＆buynum = 1＆currency_id = 0＆bonusid = 1000

WEB类的漏洞在这里基本都能见到，如URL重定向、上传漏洞（低危）、逻辑类漏洞、认证缺陷、XSS、越权类、代码执行、弱口令（中高危、严重）等，没有太多公开漏洞，各位看官自行搜索，从WEB安全入手，触类旁通。   

总结：总体而言，交易所本身WEB安全的漏洞数量最多，且易造成资金损失，而且其中心化的缘故，会有人为因素所导致，而人是最大的漏洞，被社工也是金融骇客最常用的手段之一；智能合约类漏洞相对较少，（逼格高），但危害严重，这是其较为严格的代码审计的功劳吧。还有针对Dapp的漏洞攻击，这里暂不做研究。

后记：币圈有风险，挖洞稳赚钱。其实真正想写的是智能合约 的漏洞，奈何没有找到公开资料，只能日后再说。

注：本文所述漏洞细节均已公开且进行脱敏处理，仅作为技术研究使用，图片均来自DVP，仅用于丰富文章内容，如有侵权，请联系删除。

参考来源：DVP BUGX 慢雾 先知 Twitter Google（排名不分先后）

文中所提到的部分漏洞案例参考：
dvpnet.io/detail?id=328/8615/3579

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课