目前移動互聯網中，區塊鏈的網站越來越多，在區塊鏈安全上，很多都存在著網站漏洞，區塊鏈的充值，會員賬號的存儲性XSS竊取漏洞，賬號安全，等等關于這些區塊鏈的漏洞，我們SINE安全對其進行了整理與總結。目前整個區塊鏈網站安全市場的需求是蠻大的，很多區塊鏈網站，也叫數字貨幣平臺，以及數字虛擬幣，虛擬錢包，區塊鏈錢包，整體上的區塊鏈網站架構是分5個層，第一層是區塊鏈的應用層：分發行機制，分配機制。第二層是激勵層，第三層是共識層：POW，第四層是P2P網絡，區塊鏈傳播機制，安全驗證機制。第五層就是數據層:分區塊數據，鏈式結構，數字簽名，哈希函數，Merkle樹，非對稱加密。

在我們SINE安全對區塊鏈網站進行安全檢測，與安全滲透的過程中，發現很多網站漏洞，針對于區塊鏈漏洞我們總結如下：一般出現網站漏洞的地方存在于網站的邏輯漏洞，在會員注冊，會員登錄，區塊鏈地址管理：像充幣，轉幣，提幣。委托交易，買入賣出（期貨，法幣，以太坊，比特幣等等）賬戶的密碼安全（修改密碼，手機短信驗證），第三方支付平臺（API接口支付）。在實際安全測試當中，比較容易發現的漏洞如下：

會員賬號的存儲性跨站漏洞

區塊鏈CSRF漏洞

在數字貨幣交易平臺里我們登錄會員賬號，進行幣的買賣，轉幣的操作過程中，可以不用輸入密碼直接提交轉幣操作，無視密碼。該轉幣的表單并沒有對其做安全防護，導致存在很嚴重的漏洞，造成的危害也很大，很容易被攻擊者利用。

充幣、提幣漏洞

在區塊鏈平臺當中，很多網站并沒有對充幣的表單進行安全過濾，導致可以構造負數，POST提交到區塊鏈服務器中去，充幣提幣的時候可以造成負數，導致幣增加。

轉幣地址被惡意篡改

EVM在判斷轉幣地址的時候，沒有過濾尾部的數字0，導致別人對其轉幣操作的時候可能會發現轉幣地址的變化，攻擊者可以利用該方式對其進行轉幣，風險較大。

如何修復以上區塊鏈網站漏洞呢？

對提幣，以及充幣，錢包交易，買入，賣出等會員的功能性操作的表單，進行安全過濾，對GET，POST的提交方式的數據進行嚴格的檢測，對用戶輸入的參數以及輸入值也加強檢查，防止惡意構造參數提交到服務器端。