來源:BitsLab
1. 前言
本報告由區塊鏈安全公司BitsLab旗下子品牌TonBit聯合 TonX共同出品。隨着區塊鏈技術的不斷發展和應用的日益廣泛,TON生態系統在2024年繼續表現出強勁的增長勢頭,吸引了大量开發者、投資者和用戶的關注。
2024年,TON生態繼續在技術創新、應用落地和社區建設等方面取得了顯著的進展,進一步鞏固了其在區塊鏈領域的地位。然而,隨着生態系統的快速發展,安全問題也日益凸顯。面對不斷演化的安全威脅,如何有效防範和應對成爲了TON生態的重要課題。
TonBit始終致力於通過專業的審計服務和安全解決方案,保障TON生態的穩定和安全。從2021年开始,TonBit成員就專注於TON生態系統,發起了TONX、TONX API、TonKey、Ton Research 等項目。本報告詳細回顧TON生態的發展歷程,總結了這大半年中發生的主要安全事件,分析了其原因和影響,並提出了相應的防範措施和未來的改進建議。
我們希望通過本報告,能夠爲TON生態的參與者提供有價值的參考,促進生態系統的健康發展,並增強各方對區塊鏈安全的重視。感謝所有支持和參與TON生態建設的夥伴們,讓我們共同努力,爲打造一個更加安全、透明和繁榮的區塊鏈生態而奮鬥。
2. TON生態概述
2.1 TON生態系統簡介
● 基本介紹與架構
TON 是 The Open Network 的縮寫,是一個由 Telegram 設計的區塊鏈和數字通信協議。它旨在構建一個快速、安全和可擴展的區塊鏈平台,爲用戶提供去中心化的應用和服務。通過結合區塊鏈技術和 Telegram 的通信功能,TON 實現了高性能、高安全性和高可擴展性的特點。它支持开發者構建各種去中心化應用,並提供分布式存儲解決方案。與傳統的區塊鏈平台相比,TON 具有更快的處理速度和吞吐量,並採用了 Proof-of-Stake 共識機制。作爲一個具有創新性和潛力的區塊鏈平台,TON 推動着加密貨幣和去中心化應用的發展。
2.2 爲什么選擇TON
在與比特幣和以太坊強大的流動性和社區競爭時,盡管這些區塊鏈在其初期狀態下仍有許多問題,但挑战依然存在。
由Vitalik Buterin提出的區塊鏈三難困境描述了Layer 1網絡在同時平衡安全性、可擴展性和效率方面面臨的挑战。必須進行權衡(至少在初始階段)。以比特幣爲例,我們可以看到工作量證明(PoW)提供了強大的安全性和更高的去中心化,但其交易速度較慢且費用較高。以太坊盡管最近遷移到了權益證明(PoS)並且支持更多的Layer 2解決方案(如Optimism和Arbitrum),但在網絡擁堵期間仍會面臨高昂的Gas費用。
簡而言之,幾乎沒有任何鏈(無論是Layer 1還是Layer 2)能夠在其現狀下與傳統銀行和金融機構競爭,更不用說在隱私和安全等平衡且務實的激勵措施上取得優勢。
2.2.1靈活且可分片的PoS架構
與Solana和以太坊一樣,TON採用了權益證明共識機制。然而,TON的關鍵設計和實現使其在性能和多功能性上領先。其圖靈完備的智能合約是一個例子,TON的異步區塊鏈引入了Lamport時間和非常規排序方案等概念。
TON的閃電般快速且低成本的交易由鏈的靈活且可分片的架構支持。這種架構允許其在不損失性能的情況下輕松擴展。動態分片涉及初步开發的具有各自目的的單獨分片,這些分片可以同時運行並防止大規模積壓。TON的區塊時間爲5秒,最終確定時間少於6秒。
現有基礎設施分爲兩個主要部分:
主鏈(Masterchain)
負責處理協議的所有重要和關鍵數據,包括參數及當前值。這包括驗證者的地址以及驗證的幣量。此外,它還包含各種工作鏈和分片鏈的數據。在多層區塊鏈中,主鏈是最重要的;是單一的真相源。
工作鏈(Workchain)
連接到主鏈的次級鏈。它包含所有交易信息以及記錄的各種智能合約。然而,每個工作鏈可以有不同的規則。這意味着具有不同格式的地址、不同的交易格式以及特定智能合約的不同虛擬機(VM)。正因爲如此,TON區塊鏈可以被稱爲異構區塊鏈。
2.2.2擴展用例和優勢
TON基金會是由TON核心社區運營的DAO,爲TON生態系統中的項目提供各種支持。這些支持包括通過活動和黑客松爲开發者提供支持,爲DeFi項目提供流動性激勵計劃等。
根據最近的开發者報告,每月活躍开發者增加了8%,而GitHub上的开源TON相關存儲庫的貢獻者年增長率達50%。這表明社區在不斷壯大,促進了合作和創新。
TON Connect 2.0的推出
TON Connect 2.0的發布標志着一個重要的裏程碑,爲用戶提供了一種直觀的方式連接他們喜歡的錢包和應用程序。受Tonkeeper錢包和OpenMask支持,已被超過14個服務採用,所有這些都幫助創造了更好的用戶體驗。
通過TON Verifier提高信任和可靠性
由Orbs團隊創建的智能合約檢查器TON Verifier現已向社區成員开放,允許开發者在部署前檢查其合約的完整性。
Blueprint——开發者的盟友
TON推出了Blueprint,這是一種旨在幫助开發者編寫、測試和部署智能合約的簡單環境。Blueprint簡化了整個過程,使工程師更容易在TON上構建。
Sandbox开發者工具包
這個最新的工具包擴展了TON的功能,適用於從企業到政府的各種用例。Sandbox工具包賦能主流智能合約开發,爲更廣泛的採用鋪平了道路。
Tact語言Beta版——擁抱未來
由Steve Korshakov和Tact社區支持的Tact編程語言成功發布了Beta版本。簡潔的文檔鼓勵社區學習和反饋,促進了更強大的編程環境。
TON Society國際化
TON社區還在裏斯本、曼谷、海得拉巴(印度)和巴塞羅那啓動了國際中心,分享創意並加速項目开發。預計全球將出現更多中心,邀請有興趣的人參與這一激動人心的事業。
DeFi流動性激勵計劃
這是一種漸進的、基於裏程碑的方法,爲項目提供資金。該計劃旨在實現TON生態系統內DeFi領域的有機可持續性。
2.3 2024年TON發展方向與目標概覽
TON的發展路线圖包含許多有趣的計劃,如穩定幣工具包、分片工具以及BTC、ETH和BNB的原生橋接。
無Gas費交易
目前沒有其他鏈提供無Gas費交易,因此TON可能會徹底改變區塊鏈領域,並吸引更多來自其他生態系統的用戶。TON可能會補貼某些情況下的Gas費,例如Telegram錢包或USDT轉账,以吸引更多用戶將TON用於日常需求。
驗證節點與打包節點分離
這是TON可擴展性的重大升級。打包意味着收集交易、驗證它們並將它們放入一個區塊。爲此,節點需要存儲並不斷監控整個網絡狀態——TON區塊鏈中所有地址的所有余額。
TON計劃到2028年吸納5億Telegram用戶,並利用分片提供足夠的交易執行時間和低交易費。通過分片,區塊鏈被分成幾個分片鏈。2條分片鏈提供2倍吞吐量,4條分片鏈提供4倍,依此類推。
每個分片鏈將有自己的驗證節點子集來打包和驗證區塊。這些驗證節點必須頻繁旋轉子集以確保安全性。問題在於:隨機旋轉的情況下,驗證節點將不得不存儲每個分片的狀態,而不僅僅是他們自己的分片狀態。存儲100萬個账戶的狀態需要一個強大的服務器,而在一個地方存儲5億個账戶的狀態是不可能的。
爲了解決這個問題,TON團隊提出將驗證和打包分成兩個角色:打包節點只存儲其分片鏈的狀態並打包區塊,而分配到該分片鏈的驗證節點在一定時間內只驗證並籤署區塊。這樣負載和風險將得到均衡分配,TON可以擴展到容納數十億用戶。
在官方文檔中,沒有提到質押獎勵。雖然只有驗證節點會在區塊驗證中產生風險(驗證節點因爲在參與共識、驗證區塊時需要質押一定數量的加密貨幣。如果他們的行爲不符合協議規定,可能會導致部分或全部質押資金被懲罰性削減,即所謂的“懲罰機制”或“Slashing”),這就是所謂的“風險”),但打包節點也應因存儲狀態和生成區塊而獲得獎勵。
盡管驗證過程變得更加復雜,TON的年增發率是固定的,但是質押的年收益率(APY)會變化 。由於Staking 的人變多了,原本的APY高達 25% 現在則是 3.4%。
分片指南和工具
TON成爲首批高效利用分片技術的區塊鏈之一,這要歸功於傑出的开發者團隊。中心化交易所、支付系統,甚至TON的服務和應用都需要專門的工具和文檔來實現分片支持,因爲這是一項他們不熟悉的技術。這就是爲什么TON开發者希望在不久的將來發布這些工具。
懲罰機制優化
懲罰機制是對執行不力的驗證節點的懲罰:錯過區塊、頻繁離线,甚至試圖將欺詐交易推入區塊。
目前,TON使用投訴機制來懲罰不當行爲的驗證節點。任何網絡參與者都可以提交帶有證據的投訴,並追究不良驗證節點的責任。
懲罰機制優化將引入更好的系統來檢測和懲罰不當行爲的驗證節點,從而提高TON的魯棒性。這將分幾步實施:首先,流動質押協議不會受到驗證節點懲罰的影響,用戶的獎勵將得到保障。然後,懲罰將分配到流動質押協議提供的TON上,略微降低平均年收益率。
選舉人和配置合同更新
TON質押、流動質押和鏈上治理都是通過智能合約實現的。Tonstakers也使用這些合約來匯集TON,爲驗證節點提供TON,並在用戶之間分配獎勵。
此次選舉人和配置合同更新將允許我們的用戶投票表決網絡提案,使網絡對每個人更加开放,並增加每個用戶的價值。
TON穩定幣工具包
穩定幣工具包將允許任何人發行與本地法定貨幣掛鉤的算法穩定幣:英鎊、歐元、新西蘭元等。
考慮到TON與Telegram的集成、內置錢包以及最近決定與頻道所有者分享廣告利潤,我們可以推測Telegram可能會爲內置服務增加本地穩定幣支付功能。
Jetton Bridge
TON已經有了以太坊和BNB鏈的橋,用於橋接$TON和流行的硬幣如ETH、BNB和USDC。Jetton橋將允許用戶將TON代幣(如tsTON)發送到其他鏈。
ETH, BNB 和 BTC Bridge
雖然有第三方橋,推出官方橋來引入主要加密貨幣到TON具有合理性。
非原生代幣
在TON區塊鏈生態系統中,$TON充當原生代幣的角色,具體用途包括但不限於參與網絡的質押機制以及支付交易執行所需的Gas費用。$TON代幣的交互功能,如交易和余額管理,是通過TON協議本身內置的智能合約實現的。此外,用戶的$TON余額被妥善記錄和存儲在其鏈上账戶中,確保了交易的安全性和數據的一致性。
Jettons(如USDT和tsTON等普通代幣)由第三方智能合約操作,不能代替$TON支付費用和質押。用戶的余額存儲在這些合約中。
非原生代幣(Extra Currencies)將允許TON用戶創建類似原生的代幣,這些代幣也將存儲在账戶中。額外貨幣與Jettons的最明顯區別是,額外貨幣的交易應該便宜2-3倍,因爲它們將不涉及合約調用。
3. 生態發展情況
3.1 生態概況
TON 基金會官網目前展示了接近1000個應用程序,這些項目涵蓋了廣泛的領域,從去中心化金融(DeFi)到遊戲、社交媒體和工具類應用,顯示出TON生態系統的多樣性和活力。通過這些項目,TON基金會不僅展示了其在區塊鏈技術領域的領先地位,還表明了其致力於推動創新和促進生態系統發展的決心。這些項目得到了TON基金會的資金支持和技術指導,爲开發者提供了寶貴的資源和平台,幫助他們在TON區塊鏈上實現創意和商業目標。這種全面的支持和投資策略,使得TON生態系統持續增長,吸引了越來越多的开發者和用戶加入,爲未來的發展奠定了堅實的基礎。
3.2 TON 生態系統關鍵指標
截止7月27日,TON鏈上的驗證節點數量爲383個,PoS 機制下總質押 $TON 數量爲5.9億多個,分布在29個國家當中。
https://www.tonstat.com/
截止7月中旬,目前TON網絡的每日活躍地址數達到37.3萬個,較去年同比增長了5360%。這一顯著增長反映了TON區塊鏈在用戶中的受歡迎程度和日益增加的採用率。
圖片:TheBlock
TON網絡的DeFi生態系統展現出強勁的發展勢頭和廣泛的用戶基礎。關鍵指標顯示,獨立用戶數量已經達到1,784,089,表明大量用戶正在積極參與和使用TON網絡上的DeFi服務。此外,總鎖倉量(TVL)達到了706,307,873美元,這一數額不僅反映了用戶對TON DeFi生態系統的信任和認可,也顯示了其在區塊鏈金融領域的顯著地位。流動性提供者的數量也達到了26,297,進一步證明了TON網絡在吸引投資者和促進流動性方面的成功。
https://tonalytica.redoubt.online/public/dashboards/gVn4AEq0bQwAEVYnJPvMZd0zEatZDvtOsvIKOB2y?org_slug=default
截至7月27日,TON網絡的鏈上活躍錢包數量達到了11,027,518個,顯示了該網絡在用戶基礎上的廣泛吸引力和持續增長。此外,每日鏈上錢包激活量達到77,021個,表明新用戶和現有用戶的持續活躍和參與。同時,NFT鑄造數量達到了9,324,617個,反映出TON生態系統在數字資產創建和交易方面的繁榮發展。這些數據共同展示了TON網絡在區塊鏈行業中的強大生命力和不斷擴展的生態系統。
根據The Block7月中旬的統計,TON上超過一半的項目都是作爲Telegram上的機器人構建的,這突顯了TON與社交平台Telegram之間的緊密聯系。TON與Telegram的整合爲开發者提供了便捷的开發環境和廣泛的用戶基礎,使其成爲項目構建和推廣的理想平台。
圖片:TheBlock
TON生態系統中的主要項目類別包括遊戲和投資(特指一些泛金融類應用),顯示出多樣化的社區興趣。遊戲類項目利用TON的高速交易處理和低費用,爲玩家提供了流暢的遊戲體驗和豐富的遊戲內經濟。而投資類項目則利用TON的去中心化特性和安全性,吸引了衆多投資者和金融應用的开發者。
TON生態系統的不斷擴展不僅表明了其技術優勢和平台潛力,還展示了其在各類應用場景中的廣泛適用性。隨着更多开發者和用戶的加入,TON有望繼續推動區塊鏈技術的發展,並在未來的數字經濟中扮演更加重要的角色。
3.3 TON如何成爲一個強大的去中心化遊戲平台
3.3.1構建基於TON的去中心化遊戲的主要原因
基於TON區塊鏈开發去中心化遊戲爲企業和开發者提供了一系列優勢,旨在重新定義遊戲產業的格局。
讓我們來看一下TON爲何成爲去中心化遊戲首選平台的關鍵原因。
與Telegram的集成
TON與Telegram的集成爲开發者提供了超過9億月活躍用戶的訪問權限,使得遊戲可以直接在Telegram上快速、輕松地發布,這與傳統應用商店形成了鮮明對比。
在iOS和Android等操作系統上,用戶通常需要經過多個步驟,如下載和授權。而基於TON的Telegram遊戲允許用戶通過直接打开機器人或通過Telegram應用中心立即开始遊戲。
強大的用戶獲取和留存工具
利用TON和Telegram,开發者可以獲得一套綜合工具,旨在提升用戶留存率並改善遊戲內的用戶體驗。這些工具包括:
● Telegram應用中心,這是一個一站式工具、實用程序和遊戲的目的地,全部集成在Telegram生態系統中。
● Telegram廣告可以在幾乎任何Telegram頻道上執行廣告活動,將遊戲廣告投放給數百萬用戶。
● 可以在Telegram內直接發送通知,確保相比於遊戲中的原生推送通知有更高的打开率。
這些工具專爲保持玩家在遊戲環境中的積極參與而設計,從而幫助开發者維持一個充滿活力的用戶群體。
快速且高效的區塊鏈
TON區塊鏈以其高速度而聞名。它能夠處理每秒超過100,000筆交易,同時保持低費用。這些特點對於維持去中心化遊戲的性能和可擴展性至關重要,尤其是在處理高吞吐量的玩家互動時。
多樣化的貨幣化機會
TON爲开發者提供了多種貨幣化策略,從應用內廣告和可交易和出售的非同質化代幣的集成,到反映現實世界經濟原則的遊戲內經濟體的創建。這爲开發者打开了多樣化的收入來源,並增強了遊戲項目的財務可行性。
簡單且易於訪問
TON是一個用戶友好且易於訪問的區塊鏈,這對於遊戲行業的廣泛採用至關重要。
對於GameFi Web3开發者和玩家來說,TON提供了一整套工具,使其成爲那些希望過渡到去中心化遊戲世界的理想選擇。
3.3.2 TON在去中心化遊戲中的應用案例
TON區塊鏈迅速成爲一個充滿活力的去中心化遊戲生態系統,以下是一些正在定義TON遊戲體驗的最受歡迎的示例。
● Notcoin: 一款點擊賺取遊戲,玩家通過點擊賺取代幣
● Catizen: 一款空投賺取遊戲,玩家通過養貓賺取$CATS代幣
● Fanton Fantasy Football: 一款玩賺遊戲,玩家組建足球隊並獲得獎勵
1. Notcoin
Notcoin是一款簡單而有趣的點擊賺取遊戲,由於其簡單的玩法和有趣的機制,迅速在Telegram上流行起來。
玩家通過點擊賺取代幣,他們的成就被記錄在聯賽排名中。玩家還可以通過加入Telegram頻道和聊天組隊,完成各種任務,攀登排行榜。
2. Catizen
Catizen是一款融合了元宇宙、GameFi和AI元素的有趣的空投賺取遊戲。遊戲玩法涉及通過將貓拖放在一起進行繁殖,以提高其等級並賺取$CATS代幣。玩家還可以通過釣魚賺取魚幣,這些魚幣用於遊戲內的提升和升級。
在Catizen中,玩家可以購买提升道具以加速貓的繁殖,獲取新貓,並提升整體遊戲體驗。遊戲商店允許購买$CATS和魚幣代幣用於TON。
隨着玩家挖礦更多代幣,他們在青銅、白銀、黃金、鉑金和鑽石聯賽中不斷進步,反映出他們的成就。
3. Fanton Fantasy Football
Fanton Fantasy Football是首款與Telegram集成的玩賺遊戲。在這款遊戲中,玩家組建一支由五名足球運動員組成的隊伍:守門員、後衛、中場、前鋒和替補。玩家在實際足球比賽中的表現決定了他們在遊戲中獲得的積分。
玩家通過各種場上行動獲得積分,例如進球、助攻、撲救和其他重要貢獻。球隊獲得最多積分的用戶有機會贏得有價值的獎品,包括加密貨幣和NFT。這使得每場比賽都充滿了潛在的回報。
由於與Telegram的無縫集成,TON極大地簡化了遊戲發布,使得遊戲發布變得比以往任何時候都容易。再加上其先進的用戶獲取和留存工具,爲开發者提供了創建引人入勝且盈利的去中心化遊戲體驗的能力。但是在开發這類項目時,安全風險同樣不可忽視。
4. TON生態安全研究
4.1 如何在TON上做安全开發
爲了確保智能合約的安全性,我們需要採取一系列安全措施,以下是一些TON生態關鍵的安全實踐:
1. 訪問控制
描述:當合約中有一些重要的邏輯或者敏感操作需要特定授權用戶來執行時,我們應該做好訪問控制,避免攻擊者執行敏感操作,從而造成嚴重的損害。
實踐:
➢ 確定哪些操作需要權限控制。
➢ 對需要權限執行的操作通過校驗消息的發送方來限制訪問。
➢ 定期審查和更新訪問控制策略,以適應合約需求的變化。
具體提案可參考:
https://github.com/ton-blockchain/TEPs/pull/180
https://github.com/ton-blockchain/TEPs/pull/181
2. 驗證消息輸入
描述:智能合約中如果缺乏對外部輸入的適當驗證或過濾,會導致惡意用戶或攻擊者輸入惡意數據,從而可能導致不安全行爲或漏洞。
實踐:
➢ 對所有外部輸入進行嚴格的驗證和過濾,這包括驗證數據類型、檢查邊界條件以及清理用戶輸入
➢ 考慮所有可能的輸入場景,包括邊緣情況和意外輸入。
➢ 定期審計和測試輸入驗證邏輯。
3. 檢查Gas使用量
描述:在處理內部消息時,發送者通常需要支付 Gas 使用費。當處理外部消息時,合約會支付Gas使用量。這意味着需要小心外部消息中的Gas使用。應該始終測試合約的 Gas 使用情況,以驗證一切是否按預期運行,並避免可能耗盡合約余額的漏洞。
實踐:
➢ 在开發過程中監控和優化Gas使用情況。
➢ 使用Gas限制來防止高消耗操作。
➢ 定期測試合約在不同情景下的Gas消耗情況。
4. 時間戳依賴
描述:一些智能合約的行爲依賴區塊時間戳,而區塊時間戳可能會被驗證者操縱。例如,驗證節點可以有選擇地包含或排除某些交易,或者調整時間戳以服務於某些目的。這種行爲可能會導致合約邏輯被操縱,帶來安全風險。
實踐:
➢ 避免直接依賴區塊時間戳進行關鍵邏輯判斷。
➢ 如果必須使用時間戳,請確保使用更可靠且不可控的方法。
➢ 採用時間緩衝機制,允許時間在一定範圍內變化,減少對單個時間點的依賴。
➢ 定期審查合約邏輯,確保不會受到時間戳操縱影響。
5. 整數溢出
描述:整數上溢和下溢是超出變量表示範圍的指數值運算,導致計算結果不正確。整數溢出通常發生在加、減、乘等運算中。如果不加以控制,可能會導致嚴重的安全問題,例如余額計算不正確或意外的資金轉移。
實踐:
➢ 使用安全的數學庫來處理整數運算。
➢ 在所有數學運算前後添加溢出檢查。
➢ 定期審計合約代碼,確保所有整數運算均受到保護。
6. 舍入誤差
描述:舍入誤差風險是指由於數值運算中精度限制或舍入方法不當而導致計算結果出現誤差。特別是在處理貨幣或高精度數值時,舍入誤差可能會導致資金損失或分配不公平。
實踐:
➢ 使用高精度數值庫或定點數庫來處理貨幣運算。
➢ 定期測試和驗證數值運算邏輯,確保精度符合預期。
➢ 在代碼中明確標注舍入方法,確保一致性。
7. 拒絕服務
描述:拒絕服務風險是指消耗智能合約的計算資源或觸發錯誤條件,導致合約無法正常執行或陷入無休止的操作。這可能會阻止合法用戶與合約交互,甚至阻止合約狀態更新。
實踐:
➢ 限制循環次數或遞歸深度以避免長時間運行的操作。
➢ 關鍵操作前檢查剩余Gas,避免因Gas不足導致交易失敗。
➢ 定期審查和優化合約邏輯,確保效率和可靠性。
➢ 使用事件日志記錄重要操作,便於故障排查和恢復。
8. 業務邏輯
描述:業務邏輯漏洞是指智能合約在實現其業務流程時的設計缺陷或實現錯誤,導致合約在某些情況下表現異常。這些漏洞可能被惡意用戶利用,導致資金損失、數據篡改或合約功能失效等嚴重後果。業務邏輯漏洞通常不是編碼錯誤,而是業務需求和流程的誤解或不完善的實現。
實踐:
➢ 深入理解和分析業務需求,確保邏輯設計正確。
➢ 定期進行代碼審計和邏輯驗證,及時發現並修復漏洞。
➢ 編寫全面的測試用例,覆蓋所有可能的業務場景。
通過上述安全實踐,我們可以大大提升智能合約的安全性,降低風險,確保合約的穩定運行和用戶的資金安全。
4.2 TON生態安全事件回顧
在2024年,TON生態系統中發生了多起安全事件,揭示了其安全性方面的挑战。以下是一些重要事件的詳細描述、分析事件的原因、影響及其解決方案,並對一些典型的安全漏洞進行了盤點。
4.2.1 常見的攻擊類型
在2024年,TON生態系統中發生了多起重大安全事件,對於項目方和用戶而言都造成一定的影響,這些事件揭示了區塊鏈技術在安全性上的一些脆弱性。以下是常見的攻擊類型及其簡要描述:
➢ 輸入驗證不正確
描述:輸入驗證是指驗證輸入數據的完整性、准確性和安全性。當智能合約無法充分驗證和清理用戶輸入時,就會發生不正確的輸入驗證,從而使他們容易受到各種類型的攻擊。此類漏洞可被利用來操縱合約邏輯、注入惡意數據或導致意外行爲。正確的輸入驗證可確保合約僅處理有效且預期的數據,從而降低被利用的風險。
➢ 計算錯誤
描述:計算錯誤是指系統在執行某些計算時出現錯誤,導致意外行爲或漏洞。這類錯誤可能源於智能合約代碼中的邏輯錯誤或編程錯誤,攻擊者可以利用這些漏洞來操縱計算或在合約中獲得優勢 。
➢ 預言機/價格操縱
描述:價格操縱是指攻擊者通過操縱市場價格來獲取不正當收益。在TON生態系統中,攻擊者可能會通過操縱DEX(去中心化交易所)上的交易量或訂單簿,影響特定代幣的價格,從中獲利或引發市場恐慌。攻擊者還可能通過幹預預言機所報告的數字資產價格等外部信息,導致智能合約做出錯誤決策。
➢ 弱訪問控制
描述:弱訪問控制指系統未能有效限制用戶對資源或操作的訪問權限,導致未經授權的用戶能夠執行敏感操作。在TON生態系統中,這可能包括未授權的用戶能夠訪問管理接口、更改智能合約設置或竊取用戶資產。
➢ 拒絕服務攻擊
描述:拒絕服務(DoS)攻擊是指消耗智能合約的計算資源或觸發錯誤條件,導致合約無法正常執行或陷入無休止的操作。這可能會阻止合法用戶與合約交互,甚至阻止合約狀態更新。在TON生態系統中,攻擊者可能利用DoS漏洞惡意鎖定所有資產,這將直接導致項目方和用戶的資金損失。這不僅會影響項目的正常運營,還會損害用戶的信任。
➢ 釣魚攻擊
描述:釣魚攻擊是一種社會工程學攻擊,攻擊者通過僞裝成可信賴的實體,誘騙用戶提供敏感信息如用戶名、密碼或私鑰。在TON生態系統中,釣魚攻擊者可能會僞裝成官方渠道或合作夥伴,發送欺詐性郵件或消息,誘騙用戶點擊惡意鏈接或提供個人信息。
這些攻擊類型不僅揭示了TON生態系統在安全性方面的挑战,也強調了加強安全措施和提高用戶警惕性的重要性。
其中受影響的項目類型包括Lanuchpad、Staking、Dex、Lending、Gaming,這些事件不僅暴露了各個項目的脆弱性,也爲整個生態系統的安全性提出了嚴峻的挑战。以下是具體的安全事件、漏洞盤點。
4.2.2 安全漏洞盤點
1. 某協議的質押合約遭受攻擊,導致大量代幣損失
時間: 2024年5月22日
損失金額: /
根本原因: 參數配置錯誤
描述:
在慶祝TON生態系統繁榮的質押活動後,由於協議參數配置錯誤,某協議的質押合約遭受了黑客攻擊,導致合約中大量代幣被盜。事件發生後,項目方立即暫停了質押獎勵領取功能,並分配了大量$USDT用於回購丟失的307,264個代幣。
攻擊發生後,這個項目方迅速聯系了TonBit進行審計。TonBit展示了其專業性,迅速反應並調集安全專家團隊,對項目的核心代碼進行了全面而細致的安全審計。TonBit的安全專家們發現了6個低危問題,並立即與項目方團隊進行了詳細的溝通。憑借豐富的經驗和專業的技術能力,TonBit不僅提供了問題的具體解決方案,還協助該團隊迅速完成了所有問題的修復工作,確保了合約的安全性和穩定性。
TonBit審計發現的和配置相關的issue:
解決方案:修改參數配置
2.黑客利用錢包展示可控的comment信息誤導用戶
時間: 2024年5月10日
損失金額: 22,000 TON
根本原因: 錢包進行交易時展示的comment信息可能誤導用戶
描述:
在TON中處理transfers消息時,雖然可以添加注釋(comment),但部分錢包在展示這些注釋時的界面UI設計存在潛在誤導風險。這種設計缺陷被黑客利用,通過操控transfers消息的注釋內容,黑客能夠在交易過程中向用戶展示虛假信息,從而實施欺詐行爲,導致用戶誤操作,造成資金損失。
解決方案:
爲了解決這一問題,錢包應用在展示這些信息時需要添加醒目的注釋,提醒用戶這些內容並不可信。此外,錢包开發團隊應改進UI設計,確保交易信息展示的透明度和可靠性。同時,用戶也需要提高辨別能力,警惕可疑交易信息。
進一步措施:
TonBit建議錢包开發團隊在展示交易注釋信息時引入多層驗證機制,例如對注釋信息進行源驗證,確保信息的可靠性。此外,定期進行用戶教育,發布安全提示,幫助用戶識別和防範潛在的欺詐行爲。通過技術手段和用戶教育相結合,可以有效減少此類安全事件的發生。
3.BookPad使用帶有後門的合約騙取資金後攜款跑路
時間: 2024年4月15日
損失金額: 74,424 TON
根本原因: BookPad使用後門合約吸取用戶資金後跑路
描述:
BookPad發布了一份存在後門的且不开源的智能合約,开始進行預售活動。在收到了足夠的資金後,他們利用合約中的後門取出資金,然後迅速攜款跑路。
解決方案:
爲防止類似事件再次發生,用戶在參與任何項目的投資活動前,應盡可能多地搜集項目方的信息,選擇那些开源且經過嚴格安全審計的項目。
TonBit建議用戶特別關注以下幾點:
1.項目开源性: 確認智能合約代碼是开源的,這樣可以讓獨立的安全專家對其進行審查,確保沒有隱藏的漏洞或惡意代碼。
2.安全審計: 選擇經過知名安全審計機構審核的項目。安全審計能發現並修復合約中的潛在漏洞,提供額外的保障。
3.項目背景調查: 調查項目方的背景、團隊成員的信譽和歷史記錄。透明度高、信譽好的項目方更值得信賴。
4.社區反饋: 關注社區對項目的反饋,參與討論,了解項目的聲譽和潛在風險。
進一步措施:
TonBit建議在TON生態系統中引入更加嚴格的監管和審核機制,對新項目進行資質審核,確保其符合安全標准。此外,可以設立一個公共的合約代碼庫,只有通過審核的合約才能被使用。這將大大降低用戶資金被盜的風險,提升整個TON生態系統的安全性和可信度。
4.黑客僞造釣魚鏈接騙取資金
時間: 2024年4月26日
損失金額: /
根本原因: 黑客釣魚攻擊
描述:
黑客僞造了一個NFT項目,並利用該項目僞造了一個泰達幣(USDT)的官方網站。當用戶進入這個僞造的泰達幣官網後,會被誘導填寫敏感信息,並將所有USDT轉移到黑客的账戶。通過這種方式,黑客成功欺騙了許多用戶,使他們的資金受到威脅。
解決方案:
爲避免類似釣魚攻擊,用戶在訪問陌生網站時應採取以下措施來驗證域名的真實性:
1. 檢查域名: 確認域名的拼寫和字符的准確性,注意相似但不同的字符,特別是那些惡意使用的假冒域名。
2. 官方渠道獲取鏈接: 始終從官方渠道(如官方社交媒體、應用程序、公告等)獲取正確的域名鏈接,避免通過不可靠的消息來源訪問網站。
3. 檢查安全證書: 確認網站的SSL/TLS證書是有效的,瀏覽器地址欄應顯示安全鎖標志。點擊安全鎖標志查看詳細信息,確保證書由可信的認證機構頒發並與該域名匹配。
4. 工具輔助: 使用瀏覽器的反釣魚和安全插件來識別和阻止虛假網站。利用在线工具和服務檢測網站的安全性和信譽,例如通過VirusTotal或PhishTank等服務來驗證網站的合法性。
5. 教育和意識: 提高用戶的安全意識,定期進行網絡安全教育,了解最新的釣魚手段和防範措施。特別是對於新興的NFT項目和加密貨幣交易平台,用戶應保持警惕,避免輕信未經證實的信息。
進一步措施:
TonBit建議在TON生態系統中引入更多的安全教育和防範措施,例如通過官方渠道發布安全提示和指南,幫助用戶識別和避免釣魚攻擊。同時,加強對新項目和網站的審查力度,確保其合法性和安全性,爲用戶提供更加安全的使用環境。
5.黑客冒充項目方在Telegram上大肆行騙
時間: 2024年2月4日
損失金額: /
根本原因: 黑客冒充Ton_fish項目方,在Telegram發布虛假空投信息騙取資金。
描述:
黑客冒充Ton_fish項目團隊,在Telegram群組內發布虛假的空投信息,以誘騙用戶參與。他們利用社會工程學手段和高度仿真的账號,設法博得用戶的信任。黑客會模仿官方账號的名稱、頭像和發布風格,使用戶誤以爲這些信息是真實的。受害者一旦與之互動,便有可能被引導至釣魚網站或被要求直接轉账至黑客控制的账戶,最終導致資金損失。
解決方案:
爲防止類似欺詐行爲,用戶在使用Telegram等社交平台時應採取以下措施來提升鑑別能力和保護資金安全:
1. 多方渠道驗證信息: 在參與任何空投或其他活動前,用戶應通過多個官方渠道(如官方網站、官方社交媒體账號、公告等)驗證信息的真實性,避免僅依賴單一信息來源。
2. 檢查账號真實性: 用戶應仔細檢查發布信息账號的真實性,關注账號的創建時間、發布內容和互動情況。官方账號通常有較長的創建歷史和大量的粉絲關注,而假冒账號可能存在創建時間短、互動少等特徵。
3. 避免點擊陌生鏈接: 對於陌生或可疑的鏈接,用戶應保持警惕,避免點擊。可以使用安全瀏覽器插件或在线工具來檢測鏈接的安全性。
4. 直接與官方確認: 在遇到任何可疑信息時,用戶應直接通過官方提供的聯系方式與項目方確認,避免通過不可靠的第三方渠道進行驗證。
5. 提高安全意識: 用戶應定期進行網絡安全教育,了解最新的詐騙手段和防範措施。特別是在參與加密貨幣和區塊鏈相關活動時,保持高度警惕,避免輕信未經證實的信息。
6. 使用雙重認證: 爲進一步保障账號安全,用戶應啓用Telegram等社交平台提供的雙重認證功能,以增加账號的安全防護層。
4.3 TON生態項目方如何做安全審計
隨着TON生態系統中的項目數量日益增加。然而,伴隨而來的安全問題也越來越多。爲了確保項目的安全性,進行全面的安全審計至關重要。
安全審計的一般步驟包括:
1. 項目初期評估
了解項目背景和需求,確認審計範圍和版本,熟悉協議架構,並制定詳細的審計策略。
2. 自動化檢測
使用靜態和動態分析工具對項目代碼進行全面檢測,發現可能破壞合約功能或安全性的問題。
3. 人工審計
安全專家團隊將對每一行代碼進行細致檢查,識別潛在的錯誤和漏洞,並和項目方保持緊密溝通,並定期反饋問題。
4. 初審報告
審計人員起草一份初審報告,總結代碼缺陷和其他問題,反饋給項目方。項目方確認審計問題,對有效問題進行修改,並通知審計人員進行復審。
5. 終審報告
提交詳細的審計報告,包含發現的問題和修復建議。與項目團隊溝通,確保所有問題都能得到有效解決。
6. 持續監控與支持
提供鏈上的持續安全監控,及時發現並應對新出現的安全問題。定期進行安全審查,保持項目的長期安全性。
TonBit 擁有一支由區塊鏈安全專家和資深开發者組成的團隊,具備深厚的技術背景和豐富的實战經驗。團隊成員在區塊鏈安全領域有多年的從業經歷,能夠精准識別並解決潛在的安全隱患。以下是TonBit 在TON生態的審計流程。
5 用戶如何在 TON 和 Telegram 上保持安全
隨着TON和Telegram生態系統的迅速發展,如今已有超過3800萬個活躍账戶,隨之而來的關注度也帶來了更大的風險。
騙子和惡意行爲者瞄准了湧入的新手用戶,即使在最安全的生態系統中,保持警惕了解潛在風險仍然至關重要。這些最常見的詐騙手段你需要多加注意。
5.1常見的詐騙手段
1. 急需幫助的朋友:騙子冒充朋友或家人,緊急請求資金。請務必核實其身份。
2. 釣魚網站:假冒網站模仿真實網站,竊取登錄信息。核對網址,避免點擊來歷不明的鏈接。
3. 投資騙局:這些騙局在加密貨幣領域非常常見,承諾高回報但沒有證明。深入研究;如果聽起來好得不真實,可能就是騙局。
4. 假調查:提供參與調查的獎勵以竊取個人信息。避免向未知調查者提供詳細信息。
5. 假工作機會:吸引人的招聘廣告要求提供個人信息、下載應用或支付費用。通過官方渠道核實。
6. 分類廣告騙局:假冒的廣告引導您到虛假的Telegram機器人以竊取信息。
7. 拉高出貨:團體操縱加密貨幣價格以牟利,導致其他人虧損。始終研究並核實投資建議。
8. 浪漫騙局:網絡關系中,騙子要求錢財或個人信息。對在线認識的人要求錢財保持警惕。
5.2警惕Toncoin金字塔騙局
Telegram對TON區塊鏈的支持不幸吸引了一些騙子,他們試圖利用毫無戒心的用戶。以下是該騙局的詳細分析:
1. 設局:騙子發送鏈接到“獨家賺錢計劃”,看似來自朋友或聯系人。他們引導用戶加入一個非官方的Telegram機器人,謊稱是用於存儲加密貨幣。
2. 投資:用戶被指示通過合法渠道(如錢包、P2P市場或加密貨幣交易所)購买Toncoin。這增加了虛假的可信度。一旦購买,用戶必須將其Toncoin轉移到詐騙機器人。
3. 加速器:受害者被迫通過一個單獨的機器人購买“加速器”,費用在5到500 Toncoin之間。在此階段,用戶失去了他們的加密貨幣。
4. 招募:騙子推廣推薦計劃,要求用戶創建私人Telegram群組並邀請朋友。他們承諾每推薦一個人可獲得25 TON的固定支付及基於推薦人購买的加速器的傭金。
實際上,這就是典型的金字塔騙局。騙子賺錢,而其他人失去投資。
5.3如何避免網絡詐騙
爲了保護自己免受網絡詐騙並確保Telegram账戶的安全,請遵循以下基本步驟:
1. 啓用Telegram的兩步驗證:進入“設置 > 隱私和安全 > 兩步驗證”,爲您的账戶增加額外的安全保障。
2. 驗證聯系人:對未經請求的消息保持警惕,尤其是要求提供個人信息或資金的消息。通過其他方式確認發件人的身份。
3. 定期檢查Telegram账戶活動:進入“設置 > 設備 > 活躍會話”,檢查账戶是否有未知設備或會話。
4. 報告可疑活動:如果遇到詐騙行爲,請向Telegram舉報。
5. 避免快速致富計劃:對這些計劃保持警惕,即使是朋友或家人推薦的,他們可能也是受害者。
6. 不要將加密貨幣轉移到未知錢包:在轉移加密貨幣之前,始終驗證接收者的身份,以避免被騙。
在TON和Telegram中保持安全需要警惕和意識。通過識別常見的詐騙手段並遵循這些安全提示,您可以保護您的資產和個人信息。始終核實來源,對好得不真實的優惠保持懷疑,並僅通過官方渠道進行交易。保持信息靈通和謹慎,您便能安心享受TON和Telegram帶來的好處,而不會成爲欺詐的受害者!
6.TON生態發展總結
選擇TON的理由在於認識到Telegram本身的生態系統。在TON上部署你的Web3項目可以利用Telegram龐大的用戶群,月活躍用戶超過7億。這種集成爲去中心化應用的繁榮提供了肥沃的環境,類似於Apple的應用商店和Steam支持开發者的方式。
爲了更好地理解其重要性,可以考慮以下類比:共生關系在自然界中是基礎,無論是小醜魚和海葵之間的互利關系,還是病毒的寄生關系。這些關系在塑造地球生物多樣性方面至關重要,是進化的關鍵驅動因素。通過網絡和合作,共生關系中的物種能夠增強其生存能力,超越單獨行動所能達到的程度。這同樣適用於科技和Web3,特別是爲了繁榮,Web3生態系統必須在不同參與者之間實現共生關系。
這些技術中的共生關系促進了合作,帶來了協同效應,最終使所有參與者受益,推動了Web3領域的進步和改進。
總體而言,开發者可以在不妥協激勵或價值的情況下,受益於主要社交網絡(如Telegram)的用戶群,爲其去中心化應用構建一個強大的未來。這種集成提供了一個理想的環境,使去中心化世界得以繁榮,強調了爲什么TON是开發者尋求在开放網絡上部署項目的战略選擇。
7.關於TonBit
TonBit是Web3區塊鏈安全審計公司BitsLab旗下的子品牌,專注於TON生態系統的安全審計與分析。作爲一支專業且經驗豐富的團隊,TonBit致力於確保TON生態系統的安全性和可靠性,爲开發者和用戶提供高水平的保障。
1. TON生態早期參與者: 從2021年开始,TonBit成員就專注於TON生態系統,發起了 TONX、TONX API、Tonkey、TonResearch 等項目。TonX Studio、TonFura、TonKey、Ton Research 等項目。
2. 全面審計:TonBit提供全方位的安全審計服務,包括智能合約審計、協議安全評估和代碼漏洞檢測等。通過全面的審計,確保項目在各個環節的安全性,防範可能的攻擊和風險。
TonBit優勢包括
1. 高效審計流程:TonBit採用先進的審計工具,能夠快速、高效地完成安全審計任務。在保證審計質量的同時,大幅縮短審計時間,爲項目節省寶貴的开發周期。
2. 定制化解決方案:TonBit根據每個項目的具體需求,提供定制化的安全解決方案。從初期的設計評估到上线後的安全監控,TonBit爲項目的整個生命周期保駕護航。
3. 業界最高的安全審計標准:爲提高智能合約安全審計標准,並全方位保障審計項目代碼的安全性和可靠性,BitsLab 旗下 3 個子品牌(MoveBit、ScaleBit、TonBit)將推出專門爲智能合約安全審計啓動的活動「Secure+」。凡參與此活動的審計項目,在完成審計(出具最終審計報告)後一個月內,若在代碼未改動的前提下,由其他審計機構或自行審計發現重大問題(Major 級別及以上),TonBit 承諾將退還 30-50% 的審計費用。
TonBit通過以下幾方面護航TON全生態的安全
1. 預防性審計:在項目上线前,TonBit通過全面的安全審計,提前發現並修復潛在的安全漏洞,確保項目上线後的安全性。
2. 實時監控:TonBit提供7x24小時的安全監控服務,實時監控項目的運行狀態,及時發現並應對安全威脅,保障項目的平穩運行。
3. 安全響應:在發現安全問題後,TonBit迅速響應,提供應急處理方案,幫助項目方迅速解決問題,降低安全事件帶來的影響。
4. 社區協作:TonBit積極參與TON社區的安全建設,與社區成員共享安全知識和最佳實踐,共同提升整個生態系統的安全水平。
TonBit致力於爲TON生態系統提供全面的安全保障,助力項目實現更高的安全標准和用戶信任度。作爲TON生態的安全守護者,TonBit將繼續努力,爲區塊鏈技術的發展貢獻自己的力量。
免責聲明: 本報告僅爲信息提供之用,不構成任何形式的投資建議、推薦或擔保。讀者在做出投資決策前應自行進行獨立調查和分析。
數據准確性: 本報告中的數據已盡可能准確和最新,但由於市場的快速變化,某些數據可能在報告發布後發生變化。
報告局限性: 由於信息獲取的限制,本報告可能無法涵蓋所有安全事件和市場變化。讀者應結合其他來源進行綜合判斷。
版權聲明: 本報告的內容受版權保護,未經許可不得復制、轉載或用於商業目的。
安全提示: 用戶應提高自身安全意識,定期更新安全軟件和防範措施,避免成爲網絡攻擊和詐騙的受害者。
參考文獻: 除了TON官方基金會的數據外,本報告還參考了多個來源。
https://blog.ton.org/
https://x.com/DegenonTON/status/1783738318850789494
https://x.com/DegenonTON/status/1779729268953813381
https://x.com/realScamSniffer/status/1788749945459318868
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。