一文聚焦 2024 TON 生态:生态技术解析与重大安全事件
随着区块链技术的迅猛发展,各类生态系统层出不穷,其中由 Telegram 创建的 TON(The Open Network)生态凭借其独特的架构和强大的功能,逐渐成为行业瞩目的焦点。另一个重要原因是 Telegram 庞大的用户基础,拥有超过 7 亿的活跃用户,为 TON 的推广和应用提供了广阔的用户基础。2024 年,TON 生态在技术创新、应用拓展以及安全防护方面均取得了显著进展。本文将全面解析 TON 生态的基本架构、灵活的权益证明机制、扩展用例与优势,以及近期发生的重大安全事件及其应对措施,旨在为读者呈现一个全面而深入的 TON 生态图景。
TON 基本介绍与架构
TON(The Open Network)是由 Telegram 创建的区块链和数字通信协议,旨在构建一个快速、安全和可扩展的区块链平台,为用户提供去中心化的应用和服务。通过结合区块链技术和Telegram 的通信功能,TON 实现了高性能、高安全性和高可扩展性的特点。它支持开发者构建各种去中心化应用,并提供分布式存储解决方案。与传统的区块链平台相比,TON 具有更快的处理速度和吞吐量,并采用了 Proof-of-Stake 共识机制。
灵活且可分片的PoS架构
TON 采用了权益证明共识机制,并通过其图灵完备的智能合约和异步区块链实现了高性能和多功能性。TON 的闪电般快速且低成本的交易由链的灵活且可分片的架构支持。这种架构允许其在不损失性能的情况下轻松扩展。动态分片涉及初步开发的具有各自目的的单独分片,这些分片可以同时运行并防止大规模积压。TON 的区块时间为5秒,最终确定时间少于 6 秒。
现有基础设施分为两个主要部分:
●主链(Masterchain):负责处理协议的所有重要和关键数据,包括验证者的地址以及验证的币量。
●工作链(Workchain):连接到主链的次级链,包含所有交易信息及各种智能合约,每个工作链可以有不同的规则。
这种分层架构不仅提升了网络的效率,还为未来的扩展提供了坚实的基础。
扩展用例和优势
在完善的技术架构支持下,TON 生态系统在 2024 年取得了多方面的显著进展。TON 基金会作为由 TON 核心社区运营的去中心化自治组织(DAO),为生态系统中的各类项目提供了全面的支持,包括开发者支持和流动性激励计划。具体来说,TON 社区在以下几个方面表现尤为突出:
●TON Connect 2.0的推出:提供了一种直观的方式连接钱包和应用程序,改善用户体验。
●TON Verifier:由 Orbs 团队创建的智能合约检查器,提升了合约的可靠性。
●Blueprint 开发工具:帮助开发者编写、测试和部署智能合约。
●Sandbox 开发者工具包:适用于从企业到政府的各种用例。
●Tact、Func 及其他新支持语言:促进更强大的编程环境。
●开发者支持:TON 基金会与 DoraHacks 合作,推出了为期三个月的线上黑客松。
●TON Hubs 国际化:在全球多个城市启动了国际中心。
●DeFi 流动性激励计划:为项目提供资金,促进 TON DeFi 领域的可持续性
这些举措不仅推动了生态系统的繁荣,也为开发者和用户创造了更加丰富和安全的使用环境。
TON 生态中的安全事件
尽管 TON 生态系统在技术和应用方面取得了诸多进展,但安全问题依然是其不可忽视的重要方面。
近日,TON 官方团队在其最新版本更新说明中,正式致谢 BitsLab 旗下的 TonBit 团队对于 TON 虚拟机中关键漏洞的发现工作。该漏洞若被恶意利用,可能导致虚拟机资源耗尽、系统崩溃,进而影响整个 TON 网络的稳定性。TonBit 团队凭借深厚的技术实力,快速定位问题并提出有效解决方案,为 TON 虚拟机构建了更为安全的运行环境,进一步增强了 TON 生态系统的整体稳定性。
该漏洞的根本原因在于 TON 虚拟机在处理合约延续(continuations)时的嵌套操作设计存在风险。恶意合约可以通过创建深度嵌套的延续结构,引发递归评估过程,从而耗尽虚拟机的宿主栈空间。这种资源耗尽攻击可能导致 TON 虚拟机异常崩溃,简单来说就是不用一个 TON,就可以导致所有的 Validator 宕机,直接影响系统的可用性。
TonBit 团队经过深入分析,和 Ton Core 协作提出了创新的解决方案,该方案可以调整虚拟机的内部跳转机制,以迭代方式替代递归调用,可以有效防止此类攻击的发生。该解决方案已在 TON 最新版本中得到应用,为 TON 用户提供了更安全、稳定的操作体验。
在应对此次重大安全事件后,TON 团队深刻认识到持续强化安全防护的重要性。为了确保生态系统的长期稳定与安全,团队不仅及时修复了漏洞,还积极总结经验,制定了更加完善的安全策略。基于此,以下将探讨 TON 生态在未来如何进一步提升安全性,确保在快速发展的同时,有效应对潜在的安全挑战。
此外,2024 年 5 月 22 日,在庆祝 TON 生态系统繁荣的质押活动后,由于协议参数配置错误,某协议的质押合约遭受了黑客攻击,导致合约中大量代币被盗。事件发生后,项目方立即暂停了质押奖励领取功能,并分配了大量 $USDT 用于回购丢失的 307,264 个代币。
攻击发生后,这个项目方迅速联系了 TonBit 进行审计。TonBit 展示了其专业性,迅速反应并调集安全专家团队,对项目的核心代码进行了全面而细致的安全审计。TonBit 的安全专家们发现了 6 个低危问题,并立即与项目方团队进行了详细的沟通。凭借丰富的经验和专业的技术能力,TonBit 不仅提供了问题的具体解决方案,还协助该团队迅速完成了所有问题的修复工作,确保了合约的安全性和稳定性。
另外,在 2024 年 5 月 10 日,BitsLab 旗下TonBit 团队发现,在 TON 中处理 transfers 消息时,虽然可以添加注释(comment),但部分钱包在展示这些注释时的界面 UI 设计存在潜在误导风险。这种设计缺陷被黑客利用,通过操控 transfers 消息的注释内容,黑客能够在交易过程中向用户展示虚假信息,从而实施欺诈行为,导致用户误操作,造成资金损失。
为了解决这一问题,TonBit 建议钱包应用在展示这些信息时需要添加醒目的注释,提醒用户这些内容并不可信。此外,钱包开发团队应改进 UI 设计,确保交易信息展示的透明度和可靠性。同时,用户也需要提高辨别能力,警惕可疑交易信息。
TonBit 建议钱包开发团队在展示交易注释信息时引入多层验证机制,例如对注释信息进行源验证,确保信息的可靠性。此外,定期进行用户教育,发布安全提示,帮助用户识别和防范潜在的欺诈行为。通过技术手段和用户教育相结合,可以有效减少此类安全事件的发生。
还有类似于 BookPad 使用带有后门的合约骗取资金后携款跑路这类时间也值得我们提出来进行相应的有效防范。2024 年 4 月 15 日,BookPad 发布了一份存在后门的且不开源的智能合约,开始进行预售活动。在收到了足够的资金后,他们利用合约中的后门取出资金,然后迅速携款跑路。
为防止类似事件再次发生,用户在参与任何项目的投资活动前,应尽可能多地搜集项目方的信息,选择那些开源且经过严格安全审计的项目。
综上所述,虽然 TON 生态系统在技术和应用领域取得了显著进展,但安全问题仍然不容忽视。BitsLab 旗下 TonBit 团队通过及时发现和协助修复关键漏洞,有效提升了系统的安全性与稳定性,并在多起安全事件中展现了专业的审计和解决能力。未来,TON 生态也将持续强化安全防护措施,完善安全策略,确保在快速发展的同时,能够有效应对各种潜在的安全挑战,保障用户和网络的长期安全。
接下来,我们将深入探讨 TON 生态系统在持续扩展和发展的过程中,如何进一步提升安全性,以确保系统的稳健运行和用户的信任。为此,TonBit 团队通过详细分析 TON 生态当前面临的安全挑战,以及可以采用的先进防护技术,并建议实施严格的安全审计,以至于构建一个更加安全可靠的生态环境。通过这些措施,TON 网络的稳定性和用户信任度将得到显著增强,从而推动 TON 生态系统的持续健康发展。
TON 生态的安全展望
TON 生态系统在扩展去中心化应用(dApps)和基础设施方面迅速发展,但由于其独特的架构和功能,TON 面临一些独特的安全挑战。以下是对 TON 生态开发者的安全建议和最佳实践:
节点分布和防护:TON 使用了分片和分布式哈希表(DHT)技术以提高网络扩展性,但若节点分布不均衡或缺乏足够保护,可能导致恶意节点在网络中占据主导地位,进行路由表污染或网络分区攻击。开发者应增强节点验证机制,并通过增加节点监控和黑名单机制提升网络防御能力。
智能合约的安全性:TON 的智能合约编程与其他公链不同,合约逻辑较为复杂。开发者应严格遵循安全开发最佳实践,注重代码的资源管理和边界检查,避免常见的合约漏洞。对合约进行代码审计和定期回顾,使用合约测试工具能提升代码可靠性。
数据完整性和防篡改:TON 的分布式存储增加了数据共享和访问的便捷性,但也带来了篡改风险。开发者可引入多层次的数据加密和认证机制,并在节点之间加入数据一致性验证,确保数据传输的完整性。
通过采取这些措施,TON 生态系统能够在持续扩展的同时,保持其高水平的安全性和稳定性,为用户和开发者提供更加可靠的服务。
总结
2024 年,TON 生态在技术架构、应用拓展以及安全防护等方面均取得了显著进展。其灵活且可分片的 PoS 架构、高性能的交易处理能力以及丰富的开发者工具,为生态系统的繁荣奠定了坚实基础。同时,面对安全挑战,TON 官方团队与安全专家的紧密合作,及时修复关键漏洞,进一步增强了系统的稳定性和安全性。展望未来,随着 TON 生态的不断发展,持续关注和提升安全防护能力,将是其实现长期可持续发展的关键。TON 生态的不断进步,不仅能为区块链技术的发展提供了新的思路,也将为用户和开发者创造了更加安全、高效的数字世界。
阅读我们的全部报告内容请点击:https://bitslab.xyz/reports-page
关于 TonBit
TonBit 作为 BitsLab 的核心子品牌,是 TON 生态系统内的安全专家和早期建设者。作为 TON 区块链的主要安全保障提供商,TonBit 专注于全面的安全审计,包括 Tact 和 FunC 语言的审计,确保基于 TON 的项目具备完整性和安全性。迄今为止,TonBit 已成功审计了包括 Catizen、Algebra、UTonic 等多个知名项目,并发现了多个关键漏洞,展现了我们在区块链安全领域的卓越能力。此外,TonBit 还成功举办了 TON CTF 比赛,吸引了众多参与者并收获了广泛关注,进一步巩固了其在 TON 生态中的安全专家地位。未来,TonBit 将继续为区块链安全保驾护航,推动技术和生态的持续发展。
关于BitsLab
BitsLab 是一家致力于Web3生态系统安全的组织,旨在成为行业和用户尊敬的安全机构。旗下有三个子品牌:MoveBit、ScaleBit 和 TonBit。专注于Sui、Aptos、TON、BNB Chain、Starknet、Solana等多个生态系统的基础设施开发与安全审计,并擅长多种编程语言的审计,包括Circom、Halo2、Move、Cairo等。
作为区块链安全领域的领导者,BitsLab 为多个项目提供安全审计服务,包括 Movement, Aptos、Tether、UniSat、Nervos CKB等,已交付超过 400 项安全解决方案,审计超过 40 万行代码,保护了 80 亿美元资产,服务超过 200 万用户。团队汇聚了多位顶级漏洞研究专家,曾在多个知名项目中发现关键漏洞。BitsLab 致力于推动 Web3 安全的发展,促进新兴生态系统的健康成长。
访问 BitsLab 官网: https://bitslab.xyz/
BitsLab 官方推特:https://x.com/0xbitslab
加入官方 Telegram 社群:https://t.me/BitsLabHQ
BitsLab子品牌官方网站:
TonBit: https://www.tonbit.xyz/
MoveBit: https://www.movebit.xyz/
ScaleBit: https://www.scalebit.xyz/
审计需求Telegram联系:@starchou
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
周报 | 美联储宣布降息 25 个基点;美国 SEC 批准 Hashdex 推出纳斯达克比特币与以太坊加密指数 ETF
鲍威尔:美联储不被允许拥有比特币,无意寻求改变法律;澳本聪 Craig Wright 因藐视法庭罪名,被判 12 个月监禁,缓刑两年;赵长鹏四年前曾发文:BTC“崩盘”从 10.1 万美元跌至 8.5 万美元,等待新闻头条报道
Sonic Labs 推出 Sonic 主网:EVM 兼容、可验证的 10,000 TPS 和亚秒级最终性
通过 FTM 到 S 的 1: 1 升级过程,现有的 FTM 持有者可以无缝地开始使用 Sonic。
传统银行入局 Layer 2,德意志银行基于 ZKsync 构建,已测试多个用例
传统金融机构也开始下场做 Layer2 了。德意志银行正在推出基于以太坊的 Layer 2 解决方案,项目名为 Project Dama 2,其测试版已经于 11 月推出,预计在明年获得监管批准后正式推出。
Hex创始人Richard Heart因逃税和袭击指控被国际刑警组织和欧洲刑警组织通缉
快速摘要:国际刑警组织应芬兰的要求对Hex和PulseChain创始人理查德·詹姆斯·舒勒(又名理查德·哈特)发布了“红色通缉令”,指控其严重逃税和袭击罪。舒勒也被列入欧洲刑警组织的头号通缉犯名单,并被指控曾将一名16岁的受害者击倒在地并多次殴打。舒勒在周六晚上于X平台上发帖称:“被通缉的感觉真好。没有什么能阻止一个时机已到的想法。”