本報告由區塊鏈安全審計公司BitsLab與其子品牌TonBit及合作夥伴TONX共同發布,分析了2024年TON生態系統的發展與安全問題。 TON(The Open Network)由Telegram創建,致力於提供去中心化應用和服務,其技術架構靈活且有效率。 2024年,TON在社區營造、技術創新和應用推廣方面取得顯著進展。然而,隨著生態快速發展,安全性問題變得迫切,需加強防護措施。防止智慧合約漏洞及用戶詐騙等安全事件,TonBit將繼續致力於提升TON生態系統的安全性與用戶信任度。
1.前言
本報告由Web3區塊鏈安全審計公司BitsLab 推出子品牌TonBit 參與合作夥伴TONX 共同出品。 隨著區塊鏈技術的不斷發展和應用的廣泛,TON 生態系統在2024 年繼續表現出強勁的勢頭增長,吸引了許多開發者、投資者和用戶的注意。
2024年,TON生態繼續在技術創新、應用落地和社區建設等方面取得了顯著的進展,進一步鞏固了其在區塊鏈領域的地位。然而,隨著生態系的快速發展,安全問題也迫切凸顯不斷做好安全威脅,如何有效防範並因應成為TON生態的重要議題。
2.TON生態概述
2.1 TON氧化物簡介
基本介紹與架構
TON(The Open Network)是由Telegram創建的區塊鏈和數位通訊協議,旨在建立一個快速、安全且可擴展的區塊鏈平台,為用戶提供去中心化的應用和服務。透過結合區塊鏈鏈技術和Telegram的通訊功能,TON實現了高性能、高安全性和高可擴展性的特性。它支援開發者建構去各種中心化應用,並提供多元化的儲存解決方案。與傳統的區塊鏈鏈平台相比,TON具有更快的處理速度和吞吐量,並採用了PoS共識機制。
2.2 為什麼選擇TON
在與比特幣和以太坊強大的流動性和社群競爭時,TON展現出獨特的優勢。 Vitalik Buterin提出的區塊鏈三難困境描述了Layer 1網路在平衡安全性、可擴展性和效率方面面臨的挑戰。比特幣和以太坊各自有其優缺點,但TON 透過靈活且可分片的PoS 架構克服了許多這些挑戰。
2.2.1 且靈活可分片的PoS架構
TON 採用了權益論證機制,並透過其圖靈提醒的智慧合約和非同步區塊鏈實現了高效能和多功能性。 TON 的閃電般快速且可見的交易由鏈的靈活且可分片的架構支援。這種架構允許其在不損失效能的情況下輕鬆擴展。動態分片涉及初步開發具有各自目的的單獨分片,這些分片可以同時運作並防止大規模積壓。 TON 的區塊時間為5秒,最終確定時間少6秒。
現有基礎設施分為兩個主要部分:
● 主鏈(Masterchain):負責處理協議的所有重要和關鍵數據,包括驗證者的地址以及驗證者的幣量。
● 工作鏈(Workchain):連接到主鏈的次級鏈,包含所有交易資訊及各種智慧合約,每個工作鏈可以有不同的規則。
2.2.2 擴展工作負載和優勢
TON激勵基金會是由TON核心社區運營的DAO,為TON生態系統中的項目提供各種支持,包括開發者支持和流動性計劃。 2024年,TON社區在許多方面都取得了顯著的進展:
● TON Connect 2.0 的推出:提供了一種連接錢包和應用程式的視覺方式,改善使用者體驗。
● TON Verifier:由Orbs團隊創建的智慧合約檢查器,提升了合約的可靠性。
● Blueprint開發工具:幫助開發者編寫、測試和部署智慧合約。
● 沙箱開發者工具包:適用於從企業到政府的各種例子。
● Tact Language Beta 版本:促進更強大的程式設計環境。
● TON Society國際化:在全球多個城市啟動了國際中心。
● DeFi 流動性激勵計畫:為專案提供資金,促進TON DeFi 領域的持續性。
2.3 2024年TON發展方向與目標概述
TON 的發展路線圖以及包含許多有趣的計劃,如穩定幣工具包、分片工具BTC、ETH 和BNB 的橋樑接駁。
● 無Gas 費交易:TON 可能會陷入某些情況下的Gas 費,吸引更多用戶。
●驗證節點與剩餘節點分離:這是TON可擴充性的重大升級,計畫到2028年吸收5億Telegram用戶。
● 選舉和配置合約更新:允許使用者投票投票網路提案。
● TON 允許穩定幣工具包:任何人發行與本地貨幣掛鉤的演算法穩定幣。
● Jetton Bridge:允許使用者將TON代幣發送到其他鏈。
●ETH、BNB 與BTC Bridge:推出官方橋接引進主要加密貨幣到TON。
● 非原始代幣:允許TON用戶創建類似的原始代幣。
3.生態發展狀況
3.1 生態概況
TON 基金會官網展示了近1000 個應用項目,涵蓋廣泛領域,如去中心化金融(DeFi)、遊戲、社交媒體和工具類應用。透過這些項目,TON 基金會展示了其在區塊鏈技術領域的領先地位,並推動了創新和生態系統的發展。
3.2 TON生態系關鍵指標
2024年7月27日,TON鏈上的驗證節點數量為383個,總質押$TON數量為5.9億多個,分佈在29個國家。每日活躍地址數量達37.3個,較去年同期成長了5360%。 TON網路的DeFi生態系統表現出強勁的發展勢頭,獨立用戶數量達到1,784,089,總鎖倉量(TVL)為706,307,873美元,流動性提供者數量為26,297。
3.3 TON如何成為一個強大的去中心化遊戲平台
3.3.1 建構基於TON 的去中心化遊戲的關鍵
基於TON區塊鏈開發去中心化遊戲為企業和開發者提供了一系列優勢:
● 與Telegram 的整合:提供超過9 億月活躍用戶的存取權限。
● 強大的使用者獲取和留存工具:包括Telegram應用中心和廣告工具。
● 快速且的區塊鏈:處理每秒超過100,000 筆交易,保持較低費用。
● 多元化的貨幣化機會:如應用程式內部廣告和可交易的非同質化代幣。
●簡單易存取:提供整套工具,適合GameFi Web3 開發者與玩家。
4.TON生態安全研究
4.1 如何在TON上做安全開發
為了確保智慧合約的安全性,我們需要採取一系列安全措施,以下是TON生態的一些關鍵安全實踐:
存取控制
描述:當合約中有一些重要的邏輯或敏感操作需要特定授權使用者來執行時,我們應該嚴格存取控制,避免攻擊者執行敏感操作,從而造成嚴重的損害。
實施:
➢ 決定哪些操作需要權限控制。
➢ 對需要權限限制執行的透過操作驗證訊息的傳送者來存取。
➢ 定期檢視並更新存取控制策略,以適應需求的變化。
具體提案可參考:
https://github.com/ton-blockchain/TEPs/pull/180
https://github.com/ton-blockchain/TEPs/pull/181
驗證訊息輸入
描述:智能合約中如果缺乏對外部輸入的適當驗證或過濾,會導致不良使用者或攻擊者輸入不良數據,從而可能導致不安全或行為漏洞。
實施:
➢ 對所有外部輸入進行嚴格的驗證和過濾,包括驗證資料類型、檢查邊界條件以及清理使用者輸入
➢ 考慮所有可能的輸入,包括邊緣情況和意外輸入。
➢ 定期和稽核測試輸入驗證邏輯。
檢查Gas 使用量
說明:在處理內部訊息時,發送者通常需要支付Gas 使用費。當處理外部訊息時,約定會支付Gas 使用量。這意味著需要小心外部訊息中的Gas 使用情況。始終應該測試一致的Gas 使用情況,以驗證一切是否按預期運行,並避免可能導致嚴重餘額的漏洞。
實施:
➢ 在開發過程中監控和優化Gas 使用量。
➢ 使用瓦斯限制來防止高消耗操作。
➢ 在不同情況下的用氣情況下定期測試合約。
政策依賴
描述:一些智慧合約的行為依賴區塊計時器,而區塊計時器可能會被驗證者排序。例如,驗證節點可以選擇有地包含或某些排除交易,或調整時間以服務於某些目的此類行為可能會導致合約邏輯被收集,帶來安全風險。
實施:
➢ 避免直接依賴區塊時序進行關鍵邏輯判斷。
➢ 如果必須使用時間,請確保使用更可靠且不可控的方法。
➢ 採用時間緩衝機制,允許時間在一定範圍內變化,減少對單一時間點的依賴。
➢ 定期鎖定同步邏輯,確保不會受到計時影響。
額外
說明:整數上溢和下溢是超出數值表示範圍的指數值損壞,導致計算結果不正確。整數溢位通常發生在加、減、乘等損壞。如果不進行控制,可能會導致嚴重的安全問題,例如餘額計算不正確或意外的資金轉移。
實施:
➢ 使用安全的數學庫來處理侵犯。
➢ 在所有數學進攻中添加溢出檢查。
➢ 定期審計合約額,確保所有增值稅均受到保護。
舍入失誤
描述:舍入日記風險是指由於分數侵犯中準確性或舍入方法不當而導致計算結果出現日記。特別是在處理貨幣或分數分數時,舍入日記可能會導致資金損失或分配不公平。
實施:
➢ 使用積分庫或定積分庫來處理金錢侵犯。
➢ 定期測試和驗證評分邏輯,確保精確度符合預期。
➢ 在程式碼中明確標註舍入方法,確保一致性。
拒絕服務
描述:拒絕服務風險是指消耗智慧合約的運算資源或觸發錯誤條件,導致合約無法正常執行或陷入無止盡的操作。這可能會阻止合法用戶與合約交互,甚至阻止合約狀態更新。
實施:
➢ 限制循環次數或潛水深度長時間運行的操作。
➢ 關鍵操作前檢查剩餘Gas,避免因Gas 不足而導致交易失敗。
➢ 定期檢討和優化合約邏輯,確保效率和可靠性。
➢ 使用事件日誌記錄重要操作,然後進行故障排查和復原。
業務邏輯
描述:業務邏輯漏洞是指智慧合約在實現其業務流程時的設計缺陷或實現錯誤,導致合約在某些情況下表現異常。這些漏洞可能被惡意使用者利用,導致資金損失、資料篡改或合約功能失效業務邏輯漏洞通常不是編碼錯誤,而是業務需求和流程的缺失或不完整的實現。
實施:
➢ 深入理解並分析業務需求,確保邏輯設計正確。
➢ 定期進行程式碼審計和邏輯驗證,及時發現並修復漏洞。
➢ 編寫完整的測試案例,涵蓋所有可能的業務場景。
透過上述安全實踐,我們可以大幅提升智慧合約的安全性,降低風險,並確保合約的穩定運作和用戶的資金安全。
4.2 TON生態安全事件回顧
2024年,TON生態系中發生了多起安全事件,揭示了其安全性的挑戰。以下是一些重要事件的詳細描述、分析事件的原因、影響其解決方案,具體化了一些典型的安全性漏洞進行了盤點。
1.某協議的質押受到損害,導致大量代幣損失
時間: 2024年5月22日
損失金額: /
根本原因:參數配置錯誤
描述:
在慶祝TON生態系統繁榮的質押活動後,由於協議參數配置錯誤,某協議的質押合約遭受了黑客攻擊,導致合約中大量代幣被盜。事件發生後,專案方暫停了質押獎勵立即領取功能,並分配大量USDT 用於回購損失的307,264 個代幣。
攻擊發生後,該專案方迅速聯繫了TonBit進行稽核。 TonBit展示了其專業性、快速反應並調集安全專家團隊,對專案的核心程式碼進行了全面而深入的安全審計。 TonBit的安全專家們發現了6個低危險問題,並立即與專案方團隊進行了詳細的溝通。憑藉豐富的經驗和專業的技術能力,TonBit不僅提供了問題的具體解決方案,還協助團隊迅速完成了所有問題的修復工作,確保了一致的安全性和穩定性。
TonBit審計發現與配置的相關問題:
解決方案:修改參數配置
2.駭客利用錢包展示可控的評測資訊誤導用戶
時間: 2024年5月10日
損失金額: 22,000 TON
根本原因:錢包進行交易時顯示的評測資訊可能誤導用戶
描述:
在T中處理傳輸訊息時,雖然可以添加註釋(評測),但部分錢包在展示這些註釋時的介面UI 設計存在潛在誤導風險。這種設計缺陷被駭客利用,透過操縱傳輸訊息的註釋內容,駭客能夠在交易過程中向用戶展示詐欺訊息,從而實施詐欺行為,導致用戶操作失誤,造成資金損失。
解決方案:
為了解決這個問題,錢包應用在這些資訊展示時需要添加醒目的註釋,提醒用戶這些內容並不可信。此外,錢包開發團隊應改進UI設計,確保交易資訊展示的透明度和可靠性。同時,用戶也需要提升智力,關注可疑交易資訊。
進一步措施:
TonBit 建議錢包開發團隊在交易註釋資訊時進行展示,引入資訊梯級驗證,例如對進行來源驗證的註釋,確保資訊機制的可靠性。此外,定期進行使用者教育,發布安全提示,幫助使用者識別和預防可能的途徑透過技術手段與使用者教育結合,可以有效減少此類安全事件的發生。
3.BookPad使用標有後門的合約騙取資金後攜帶款跑路
時間: 2024年4月15日
損失金額: 74,424 T
根本原因:BookPad使用後門合約吸取用戶資金後跑路
描述:
BookPad發布了部分後門的且不開源的智能合約,開始進行預售活動。在收到足夠的資金後,他們利用合約中的後門跑出資金,然後迅速攜款路。
解決方案:
為防止類似事件再次發生,使用者在參與任何專案的投資活動前,應收集更多專案方的信息,選擇那些開源並經過嚴格安全審核的專案。
TonBit 建議用戶特別注意以下幾點:
1.專案開源性:確認智慧合約程式碼是開源的,這樣可以讓獨立的安全專家對其進行審查,確保不存在漏洞或惡意程式碼。
2.安全審計:選擇經過知名安全審計機構審核的項目。安全審計能夠發現並修Compound約中的潛在漏洞,提供額外的保障。
3.專案背景調查:調查專案方的背景、團隊成員的信譽和歷史記錄。誠信高、信譽好的專案方更值得信賴。
4.社群回饋:專注於社群對專案的回饋,參與討論,了解專案的獎金和潛在的風險。
進一步措施:
TonBi t建議在TON生態系統中引入更嚴格的監管和審核機制,對新專案進行資格審核,確保其符合安全標準。此外,可以建立一個公共的合約程式碼庫,只有通過審核的合約才能被使用。這將大大降低用戶資金被竊的風險,提升整個TON 生態系統的安全性和可信度。
5 使用者如何在TON 和Telegram 上保持安全
隨著TON 和Telegram 生態系統的迅速發展,目前已經超過3,800 萬個活躍帳戶,吸引來的關注度也帶來了更大的風險。
騙子和惡意行為新手瞄準了湧入的用戶,即使在最安全的生態系統中,保持警惕了解潛在風險仍然至關重要。這些最常見的詐騙意味著你需要多加註意。
5.1 常見的詐騙手段急需幫助的朋友:騙子冒充朋友或家人,緊急請求資金。請務必核實其身分。 釣魚網站:假網站修改真實網站,竊取登入資訊。核對網址,避免點選來歷不明的連結。 投資騙局:這些騙局在加密貨幣領域非常常見,承諾高回報但沒有證明。深入研究;如果聽起來好得不真實,可能就是騙局。 假調查:提供參與調查的獎勵以竊取個人資訊。避免向未知調查者提供詳細資訊。 虛假工作機會:吸引人的招聘廣告要求提供個人資訊、下載應用程式或支付費用。透過官方管道授權。 分類廣告騙局:虛假的廣告引導您到誤導的Telegram 機器人以竊取資訊。 拉高出貨:團體加密貨幣價格以獲利,導致其他人員虧損。始終研究並修正投資建議。 浪漫騙局:在網路關係中,騙子要求錢財或個人資料。對網路認識的人要求錢財保持警惕。 5.2覺醒Toncoin 金字塔騙局
Telegram 對TON區塊鏈的支持不幸地利用了一些騙子,他們試圖毫無戒心的用戶。以下是該騙局的詳細分析:
設定局:騙子發送連結到“獨家賺錢計劃”,圖片來自朋友或斯托克。他們引導用戶加入一個非官方的Telegram 機器人,謊稱是為了儲存加密貨幣。 投資:用戶透過合法管道(如錢包、P2P市場或加密貨幣交易所)指示Toncoin。這增加了購買的可信度。一旦購買,用戶必須將其Toncoin轉移到詐騙機器人。 加速器:使用者被迫透過一個單獨的機器人購買“加速器”,費用在5 到500 Toncoin 之間。在這個階段,用戶失去了他們的加密貨幣。 招募:騙子推廣推薦計劃,要求用戶創建私人電報群組並邀請朋友。他們承諾每推薦一個人可獲得25 T的固定支付及基於推薦人購買的加速器的佣金。
這就是典型的金字塔騙局。騙子賺錢,而其他人則損失投資本金。
5.3 如何避免網路詐騙
為了保護自己塔網路詐騙並確保Telegram 帳戶的安全,請遵循以下基本步驟:
啟用Telegram 的兩步驟驗證:進入“設定> 隱私和安全性> 兩步驟驗證”,為您的帳戶增加額外的安全保障。 驗證聯絡人:對預設請求的訊息保持注意,尤其是要求提供個人資訊或資金的訊息。透過其他方式確認寄件者的身分。 定期檢查Telegram帳戶活動:進入“設定> 裝置> 啟動會話”,檢查帳戶是否有未知裝置或會話。 檢舉可疑活動:如果遇到詐騙,請向Telegram 檢舉。 快速避免富計劃:對這些計劃保持強烈推薦,即使是朋友或家人的,他們也可能是受害者。 不要將加密貨幣轉移到未知錢包:在轉移加密貨幣之前,始終驗證接收者的身份,小區被騙。
在TON 和Telegram 中保持安全需要警覺和意識。透過識別常見的詐騙手段並遵循這些安全提示,您可以保護您的資產和個人資訊。重新更新來源,對好得不真實的優惠保持懷疑,並僅透過官方管道進行交易。保持資訊靈通且可靠,您便能安心享受TON 和Telegram 帶來的好處,而不會成為詐騙的受害者
6.總結
選擇TON 的理由是認識到Telegram 本身的生態系統。在TON 上部署你的Web3專案可以利用Telegram 龐大的用戶群,每月活躍用戶超過7 億。這種集成為去中心化應用的繁榮提供了肥沃的環境。 TonBit致力於為TON生態系統提供全面的安全保障,助力專案實現更高的安全標準和使用者信任度。作為TON生態的安全守護者,TonBit將繼續努力,為區塊鏈技術的發展貢獻自己的力量。
資訊來源:0x資訊編譯自網際網路。版權歸作者BitsLab – Securing and Building Emerging Web3 Ecosystems 所有,未經許可,不得轉載