Звіт TonBit: Стратегічна огляд екосистеми TON на 2024 рік та дослідження безпеки

1. Вступ

Цей звіт був підготовлений спільною командою компаній BitsLab, провідного аудитора безпеки блокчейну Web3, та TonBit, підбренду компанії. У зв’язку з постійним розвитком та все більш широким застосуванням технології блокчейну, екосистема TON продовжує демонструвати активне зростання в 2024 році, що привертає увагу багатьох розробників, інвесторів та користувачів.

2024 року екосистема TON продовжила досягати значних успіхів в галузі технічних інновацій, впровадження додатків та розвитку спільноти, що ще більше зміцнило її позиції в галузі блокчейну. Однак зі швидким розвитком екосистеми стає все більш помітним питання безпеки. У зустрічі з постійно змінюючимися загрозами безпеки виникає важливе завдання - як ефективно запобігати і реагувати на них в екосистемі TON.

2. Огляд екосистеми TON

2.1 Вступ до екосистеми TON

Основний огляд та архітектура

TON (The Open Network) є блокчейн і цифровий комунікаційний протокол, створений Telegram з метою побудови швидкої, безпечної та масштабованої блокчейн-платформи, що надає користувачам додатки та сервіси децентралізації. Поєднуючи технологію блокчейн та комунікаційні можливості Telegram, TON реалізує високу продуктивність, безпеку та масштабованість. Він підтримує розробку різноманітних додатків децентралізації для розподіленого зберігання рішень. У порівнянні з традиційними блокчейн-платформами, TON має швидкість обробки та пропускну здатність та використовує Механізм консенсусу Proof-of-Stake.

2.2 Чому обрати TON

У конкурентному середовищі Ліквідність та спільнота TON демонструють унікальні переваги у порівнянні з BTC та Ethereum. Віталік Бутерін описав три складнощі Блокчейну, які пояснюють виклики, з якими стикаються мережі рівня 1 в забезпеченні балансу між безпекою, масштабованістю та ефективністю. У кожної з BTC та Ethereum є свої переваги та недоліки, але TON, завдяки гнучкій та Шардинг-здатній архітектурі PoS, подолав багато з цих викликів.

2.2.1 Гнучка та шардована PoS архітектура

TON використовує Механізм консенсусу з Доказ стейкінгу, і завдяки своїм повністю Тьюрінг-комплектним Смарт-контрактам і асинхронному Блокчейну досягає високої продуктивності та багатофункціональності. Блискавично швидкі та недорогі транзакції TON підтримуються гнучкою та можливою до Шардингу архітектурою його ланцюга. Ця архітектура дозволяє легко масштабуватися без втрати продуктивності. Динамічний Шардинг включає початково розроблені Шардинги з окремими цілями, які можуть виконуватися одночасно та запобігають масштабним завантаженням. Час Блоку TON становить 5 секунд, а остаточний час підтвердження менше 6 секунд.

Існуюча інфраструктура поділена на дві основні частини:

● основний блокчейн（Masterchain）：відповідає за обробку всіх важливих та ключових даних протоколу, включаючи адреси валідаторів та обсяг перевірених монет.

● Робочий ланцюжок (Workchain): підключений до основного блокчейну вторинний ланцюжок, що містить всю інформацію про транзакції та різноманітні смартконтракти, кожен робочий ланцюжок може мати власні правила.

2.2.2 Розширені випадки використання та переваги

Фонд TON є DAO, яке управляється ядром спільноти TON і надає різноманітну підтримку проектам у TON екосистемі, включаючи підтримку розробників та програму стимулювання Ліквідність. У 2024 році спільнота TON зробила значний прогрес у багатьох аспектах:

● Випуск TON Connect 2.0: надає інтуїтивно зрозумілий спосіб підключення Гаманця до додатків, поліпшуючи взаємодію користувачів.

● TON Verifier: перевіряє Смарт-контракт, створений командою Orbs, для підвищення надійності контракту.

● Інструмент розробки Blueprint: допомагає розробникам писати, тестувати та розгортати смарт-контракти.

● Набір інструментів для розробників пісочниці: підходить для різних випадків застосування від підприємств до урядових установ.

● Tact мова Beta-версія: сприяти потужнішому середовищу програмування.

● TON Society інтернаціоналізується: запускає міжнародні центри в багатьох містах світу.

● Децентралізовані фінанси Ліквідність інцентивна програма: надання фінансування проектам для забезпечення сталості Децентралізованих фінансів TON.

2.3 Огляд напрямків розвитку та цілей TON на 2024 рік

Розклад розвитку TON містить багато цікавих планів, таких як набір інструментів для стабільних монет, Шардинг-інструменти, а також природні мости для BTC, ETH та BNB.

● Безкоштовні транзакції без газу: TON може компенсувати витрати на газ у деяких випадках, щоб привернути більше користувачів.

● Відокремлення перевірки Нода від упаковки Нода: це важливе оновлення масштабованості TON, планується залучити 5 мільярдів користувачів Telegram до 2028 року.

● Оновлення виборців та контрактів налаштування: дозволяє користувачам голосувати за мережові пропозиції.

● TON стабільний інструментарій: дозволяє будь-кому випускати стабільну валюту, пов’язану з місцевою національною валютою Алгоритм.

● Jetton Bridge: дозволяє користувачам надсилати токени TON на інші ланцюги.

● ETH, BNB, и BTC Bridge: випущено офіційний міст, щоб ввести основні Криптовалюта в TON.

● Неоригінальний Токен: дозволяє користувачам TON створювати схожі на оригінальні Токени.

3. Стан розвитку екосистеми

3.1 Огляд екосистеми

TON фонд показав майже 1000 додатків на своєму веб-сайті, що охоплюють широкий спектр галузей, таких як Децентралізовані фінанси, ігри, соціальні медіа та інструментальні додатки. Через ці проекти TON фонд показав своє провідне положення в галузі Блокчейн технологій та сприяв інноваціям та розвитку екосистеми.

3.2 TON ключові показники екосистеми

Станом на 27 липня 2024 року кількість вузлів перевірки TON у блокчейні становить 383, загальна кількість застейканих $TON більше 590 мільйонів, розподілених у 29 країнах. Кількість активних адрес на день досягла 373 тисячі, що у порівнянні з минулим роком зросло на 5360%. Екосистема децентралізованих фінансів мережі TON проявляє сильний розвиток, кількість незалежних користувачів досягла 1 784 089, загальний обсяг заблокованих коштів (TVL) становить 706 307 873 долари, кількість постачальників ліквідності - 26 297.

3.3 TON як стати потужною грою Децентралізація платформою

3.3.1 Основні причини створення гри на основі TON з Децентралізація

Базовані на TON блокчейні розробки гри надають підприємствам та розробникам ряд переваг:

● Інтеграція з Telegram: надає доступ до понад 9 млрд активних щомісячних користувачів.

● Потужні інструменти для привернення та утримання користувачів: включаючи Центр додатків та рекламні інструменти Telegram.

● Швидка та ефективна Блокчейн: обробляє понад 100 000 транзакцій на секунду з низькими витратами.

● Різноманітні можливості монетизації: такі як внутрішні реклами і торгові нетокенизовані Токени.

● Простий та зручний доступ: надає повний набір інструментів для розробників та гравців GameFi Web3.

4. Дослідження безпеки TON екосистеми

4.1 Як здійснювати безпечний розвиток на TON

Для забезпечення безпеки смартконтракту нам потрібно вжити ряд заходів безпеки. Ось деякі ключові практики з безпеки екосистеми TON:

1. Контроль доступу

Опис: Коли в контракті є деякі важливі логічні або чутливі операції, які потребують виконання певними авторизованими користувачами, ми повинні мати контроль доступу, щоб уникнути виконання чутливих операцій з боку зловмисників, що може призвести до серйозних збитків.

Практика:

➢ Визначте, які операції потребують контролю доступу.

➢ Обмежуйте доступ до виконання операцій, які потребують дозволу, шляхом перевірки відправника повідомлення.

➢ Регулярно переглядайте та оновлюйте політику контролю доступу для відповідності змінам у вимогах контракту.

Конкретний пропозиції можуть бути знайдені в:

2. Перевірка введених повідомлень

Опис: Якщо у смарт-контракті відсутня належна перевірка або фільтрація зовнішніх введених даних, це може призвести до введення зловмисниками шкідливих даних, що може призвести до небезпечної поведінки або вразливостей.

Практика:

➢ Суворо перевіряти та фільтрувати всі зовнішні вхідні дані, включаючи перевірку типів даних, перевірку граничних умов та очищення введених користувачем даних

➢ Розгляньте всі можливі сценарії введення, включаючи крайові випадки та несподівані вхідні дані.

➢ Періодична аудиторська перевірка та тестування логіки перевірки введення даних.

3. Перевірте використання газу

Опис: При обробці внутрішніх повідомлень відправник зазвичай повинен оплатити використання газу. При обробці зовнішніх повідомлень контракт оплачує використання газу. Це означає, що потрібно бути обережними щодо використання газу в зовнішніх повідомленнях. Завжди слід тестувати використання газу контрактом, щоб переконатися, що все працює як очікувалося, та уникати вразливостей, які можуть призвести до вичерпання балансу контракту.

Практика:

➢ Під час розробки відстежуйте та оптимізуйте використання газу.

➢ Використовуйте обмеження газу для запобігання високовитратним операціям.

➢ Проведення регулярних тестів споживання газу для контракту в різних сценаріях.

4. Мітка часу依赖

Опис: деякі дії смарт-контрактів залежать від часу блоку, а час блоку може бути маніпульований валідаторами. Наприклад, валідатор може вибірково включати або виключати певні транзакції або налаштовувати час блоку для певних цілей. Це може призвести до маніпуляції логікою контракту і створити ризик безпеки.

Практика:

➢ Уникайте прямої залежності від блокової мітки часу для важливих логічних перевірок.

➢ Якщо потрібно використовувати Мітка часу, переконайтеся, що ви використовуєте більш надійний та некерований метод.

➢ Використовується механізм затримки часу, що дозволяє часу змінюватися в певному діапазоні, щоб зменшити залежність від одного конкретного моменту часу.

➢ Регулярно переглядайте логіку контракту, щоб переконатися, що вона не піддається впливу Мітка часу.

5. Переповнення цілих чисел

Опис: переповнення та недостатність цілих чисел - це обчислення значень показників, що виходять за межі представлення змінної, що призводить до некоректних результатів обчислення. Цілочисельне переповнення зазвичай виникає під час операцій додавання, віднімання, множення тощо. Якщо не контролювати його, це може призвести до серйозних проблем з безпекою, наприклад, некоректного обчислення балансу або непередбаченого переказу коштів.

Практика:

➢ Використовуйте безпечну математичну бібліотеку для обробки цілих чисел.

➢ Додати перевірку переповнення перед та після всіх математичних операцій.

➢ Регулярно аудитувати код контракту, щоб забезпечити захист всіх цілочисельних операцій.

6. Помилка округлення

Опис: Ризик помилок округлення відноситься до появи помилок у результаті обмеження точності числових обчислень або неналежного способу округлення. Особливо при обробці валюти або високоточних числових значень помилки округлення можуть призвести до втрати коштів або нерівномірного розподілу.

Практика:

➢ Використовуйте високоточну чисельну бібліотеку або бібліотеку фіксованої точки для обробки валютних операцій.

➢ Регулярно тестувати та перевіряти логіку числових обчислень, щоб забезпечити відповідну точність.

➢ У коді чітко позначте метод округлення, щоб забезпечити однорідність.

7. Відмова у обслуговуванні

Опис: Ризик відмови обслуговування вказує на використання обчислювальних ресурсів смарт-контракту або спричинення умов помилок, що призводить до неможливості нормального виконання контракту або потрапляння в безкінечну операцію. Це може призвести до того, що законним користувачам буде заважати взаємодіяти з контрактом, а навіть забороняти оновлення статусу контракту.

Практика:

➢ Обмежте кількість циклів або глибину рекурсії, щоб уникнути довгого виконання операцій.

➢ Перевірте залишок газу перед важливими операціями, щоб уникнути недостатнього газу, який може призвести до невдалих транзакцій.

➢ Регулярно переглядати та оптимізувати логіку контракту, щоб забезпечити ефективність та надійність.

➢ Використовуйте журнал подій для реєстрації важливих операцій для полегшення пошуку несправностей та відновлення.

8. Бізнес-логіка

Опис: Бізнес-логічна помилка - це дефект дизайну або помилка в реалізації смартконтракту, що призводить до вибуху угоди в деяких випадках. Ці уразливості можуть бути використані зловмисними користувачами, що може призвести до втрати коштів, зміни даних або недієспроможності функцій угоди. Бізнес-логічні помилки зазвичай не є помилками в кодуванні, але є неправильним розумінням або недосконалою реалізацією бізнес-потреб та процесів.

Практика:

➢ Глибоко розуміти та аналізувати бізнес-потреби, забезпечуючи правильне логічне проектування.

➢ Періодично проводьте аудит коду та логічну перевірку, щоб вчасно виявляти та усувати вразливості.

➢ Напишіть повний набір тестових випадків, що охоплюють всі можливі сценарії ведення бізнесу.

За допомогою вищезазначених практик безпеки ми можемо значно підвищити безпеку смартконтрактів, зменшити ризики Падіння, забезпечити стабільну роботу контрактів та безпеку коштів користувачів.

4.2 Огляд подій у сфері безпеки екосистеми TON

У 2024 році в екосистемі TON сталося кілька випадків безпеки, які викрили виклики щодо безпеки. Нижче наведено детальний опис кількох важливих подій, аналіз причин, впливу та рішення проблеми, а також перелік типових вразливостей безпеки.

1. Застейкати контракт протоколу某遭受攻击，导致大量Токен损失

Час: 22 травня 2024 року

Сума збитку: /

Основна причина: неправильна конфігурація параметрів

Опис:

Після святкування успіху екосистеми TON через застейкання, через неправильну конфігурацію параметрів протоколу певний протокол став жертвою атаки хакера, що спричинило втрату великої кількості токенів. Після події вечірка проєкту негайно призупинила можливість отримання застейкання та виділила велику кількість $USDT на викуп втрачених 307,264 токенів.

Після атаки вечірка проєкту швидко зв’язалася з TonBit для проведення аудиту. TonBit продемонстрував свою професіоналізм, швидко відреагувавши та залучивши команду експертів з безпеки для докладного аудиту основного коду проєкту. Експерти з безпеки TonBit виявили 6 низькоризикових проблем, та негайно детально обговорили їх з командою вечірка проєкту. Завдяки багатому досвіду та професійним технічним знанням, TonBit надав не лише конкретні рішення проблем, але й допоміг цій команді швидко виправити всі проблеми, забезпечивши безпеку та стабільність контракту.

Питання, виявлені і пов’язані з налаштуваннями, за результатами перевірки TonBit:

Рішення: зміна конфігурації параметрів

2.Хакер використовує Гаманець для відображення керованої інформації коментарів, щоб ввести користувачів в оману

Час: 10 травня 2024 року

Сума збитку: 22, 000 TON

Основна причина: інформація коментарів, яку відображає Гаманець під час торгівлі, може ввести користувачів в оману

Опис:

Під час обробки повідомлень transfers в Ton, хоча можна додавати коментарі (comment), але деякі Гаманець мають потенційний ризик помилкового наведення в інтерфейсі UI при відображенні цих коментарів. Цю дизайнерську помилку використовував Хакер, за допомогою маніпулювання вмістом коментарів повідомлень transfers, Хакер міг показати користувачеві неправдиву інформацію під час процесу торгівлі, що призводило до шахрайства та збитків для користувача.

Рішення:

Для вирішення цієї проблеми, додаток Гаманець потребує додавання яскравих коментарів для відображення цієї інформації, щоб нагадати користувачам, що ці дані не є надійними. Крім того, команда розробників Гаманця повинна покращити дизайн користувацького інтерфейсу, щоб забезпечити прозорість та надійність відображення інформації про транзакції. Одночасно користувачам слід підвищити здатність розрізняти та бути пильними стосовно підозрілої інформації про транзакції.

Додаткові заходи:

TonBit рекомендує команді Гаманець впровадити багаторівневий механізм перевірки при відображенні коментарів до транзакцій, наприклад, перевіряти походження коментарів, щоб забезпечити надійність інформації. Крім того, регулярно проводити навчання користувачів, публікувати поради щодо безпеки, допомагати користувачам впізнавати та запобігати потенційним шахрайствам. Застосування технічних засобів та навчання користувачів в поєднанні може ефективно зменшити випадки таких безпекових подій.

3. Після використання BookPad контракту з задніми входами для обману і виведення коштів, шахраївство

Час: 15 квітня 2024 року

Сума збитків: 74, 424 TON

Основна причина: BookPad зловживала контрактом з задніми дверима, щоб вивести кошти користувачів і зникла

Опис:

BookPad випустила смарт-контракт з відкритим вихідним кодом, який має вбудовані шахрайські функції, і розпочала передпродаж. Після отримання достатньо коштів вони використали задній прохід у контракті, щоб видалити кошти, а потім швидко зникли з грошима.

Рішення:

Щоб уникнути повторення подібних подій, користувачі перед участю в будь-якій інвестиційній діяльності проєкту повинні якомога більше зібрати інформацію, вибираючи проекти, які є вечіркою вечора, і пройшли строгу безпеку аудитування Відкритий вихідний код.

TonBit рекомендує користувачам особливо підписатися на наступні пункти:

1. Project Відкритий вихідний код: Підтвердьте, що код Смарт-контракту є Відкритий вихідний код, що дозволяє незалежним експертам з безпеки перевірити його, щоб переконатися у відсутності прихованих вразливостей або шкідливого коду.

2.Аудит безпеки: вибір проектів, які пройшли перевірку відомими організаціями з питань безпеки. Аудит безпеки дозволяє виявити та виправити потенційні вразливості у контрактах, забезпечуючи додатковий захист.

3. Перевірка фону проєкту: дослідження фону вечірки проєкту, репутації та історії команди. Вечірка проєкту з високою прозорістю та доброю репутацією є більш надійною.

4. Спільнота зворотний зв’язок: підписатися Спільнота зворотній зв’язок проекту, брати участь у дискусіях, дізнаватися про репутацію проекту та потенційні ризики.

Додаткові заходи:

TonBi пропонує в TON-екосистемі ввести більш суворий механізм регулювання та перевірки, щоб проводити кваліфікаційні перевірки нових проектів та забезпечити їх відповідність до стандартів безпеки. Крім того, можна створити загальну бібліотеку кодів контрактів, де можуть використовуватися лише перевірені контракти. Це значно знизить ризик крадіжки коштів користувачів та підвищить безпеку та довіру до всієї TON-екосистеми.

5 Як користувачам забезпечити безпеку на TON та Telegram

Зі швидким розвитком екосистеми TON та Telegram зараз існує понад 38 мільйонів активних рахунків, що призвело до більшого ризику.

Шахраї та зловмисники націлюються на новачків користувачів, і навіть у найбезпечнішій екосистемі важливо бути пильним і розуміти потенційні ризики. Ось найпоширеніші шахрайські схеми, на які варто звернути увагу.

5.1 Поширені шахрайські методи

1. Срочно потрібна допомога друг: шахраї видають себе за друзів або родичів, терміново просять гроші. Будь ласка, обов’язково перевірте їх особу.

2. Риболовні сайти: фальшиві сайти, що наслідують реальні сайти, щоб викрасти дані для входу. Перевіряйте URL-адресу, уникаючи натискання на посилання невідомого походження.

3. Инвестиції в обман: такі обмани в криптовалютній галузі дуже поширені, обіцяють високий прибуток, але не мають підтвердження. Ретельно досліджуйте; якщо звучить надто добре, щоб було правдою, це, можливо, обман.

4. Фальшиве дослідження: пропонувати винагороду за участь у дослідженні для крадіжки особистої інформації. Уникайте надавати докладну інформацію невідомим дослідникам.

5. Підроблені робочі можливості: привабливі оголошення про рекрутинг вимагають надання особистої інформації, завантаження додатків або сплату вартості. Перевіряйте через офіційні канали.

6. Категорія реклами замилювання очей：шахрайська реклама, яка направляє вас на фальшивого бота Telegram для крадіжки інформації.

7. Памп і дамп：团体操纵Криптовалюта价格以牟利，导致其他人亏损。始终研究并核实投资建议。

8. Романтичне заманювання очей: у віртуальних відносинах, шахраї просять гроші або особисту інформацію. Будьте обачними, коли вам просять гроші від людей, яких ви знайомитесь онлайн.

5.2 警惕 Toncoin Фінансова піраміда

Підтримка Telegram для блокчейну TON на жаль привернула увагу деяких шахраїв, які намагаються скористатися беззахисними користувачами. Нижче наведено детальний аналіз цього замилювання очей.

1. Створення пастки: шахраї надсилають посилання на ‘ексклюзивний план заробітку’, як будто воно від друзів або контактів. Вони направляють користувачів приєднатися до неофіційного телеграм-бота, що вимовляється як ‘Криптоактиви’.

2. Інвестиції: користувачам вказують купувати Toncoin через законні канали (наприклад, Гаманець, P2P ринок або Криптовалютабіржа). Це підвищує неправдиву довіру. Після покупки користувачам потрібно перевести свої Toncoin на шахрайського робота.

3. Прискорювач: жертву змушують придбати «прискорювач» через окремого робота за вартістю від 5 до 500 токенів між 01928374656574839201 та 01928374656574839201. На цьому етапі користувач втрачає свою Криптовалюта.

4. Рекрутинг: програма шахрайського просування та рекомендацій, яка вимагає від користувачів створення приватної групи Telegram та запрошення друга. Вони обіцяють фіксовану оплату у розмірі 25 TON за кожного рекомендованого користувача, а також комісію за пришвидшувач, придбаний рекомендуючою особою.

Насправді, це типове замилювання очей. Шахраї заробляють гроші, а інші втрачають інвестиційний капітал.

5.3 Як уникнути інтернет-шахрайства

Щоб захистити себе від інтернет-шахрайства та забезпечити безпеку вашого облікового запису Telegram рахунок, дотримуйтесь наступних основних кроків:

1. Увімкніть двоетапну перевірку в Telegram: перейдіть в «Налаштування > Конфіденційність та безпека > Двоетапна перевірка», щоб забезпечити додатковий рівень безпеки для вашого рахунку.

2. Перевірка контактної особи: будьте обережні щодо непопрошених повідомлень, особливо тих, які запитують особисту інформацію або кошти. Підтвердіть особу відправника іншим способом.

3. Регулярно перевіряйте активність рахунку Telegram: перейдіть до «Налаштування > Пристрої > Активні сеанси» та перевірте, чи є на рахунку невідомі пристрої або сеанси.

4. Повідомлення про підозрілу діяльність: якщо ви стикаєтеся з шахрайством, будь ласка, повідомте про це в Telegram.

5. Уникайте швидкісних планів збагачення: будьте обачні стосовно цих планів, навіть якщо вони рекомендовані друзями або родичами, вони також можуть бути жертвами.

6. Не перекладайте Криптовалюта на невідомий Гаманець: завжди перевіряйте ідентифікацію отримувача перед переказом Криптовалюта, щоб уникнути шахрайства.

Для забезпечення безпеки в TON і Telegram слід бути пильними й обережними. Ідентифікуйте типові шахрайські схеми та дотримуйтесь рекомендацій щодо безпеки, щоб захистити свої активи та особисту інформацію. Перевіряйте джерело, сумнівайтеся щодо недостовірних пропозицій і здійснюйте тільки офіційні операції через визнані канали. Будьте завжди в курсі подій та обережні, щоб насолоджуватися перевагами TON і Telegram, не ставши жертвою шахрайства!

6. Заключення

Вибір TON був зумовлений усвідомленням екосистеми самого Telegram. Розгортання вашого веб-проекту на TON може використовувати велику кількість користувачів Telegram, що перевищує 7 мільярдів активних користувачів щомісяця. Ця інтеграція надає плідне середовище для процвітання Децентралізація застосунків. TonBit прагне забезпечити повноцінний захист безпеки в екосистемі TON, сприяючи досягненню проектами вищих стандартів безпеки та довіри користувачів. Як сторож безпеки в екосистемі TON, TonBit буде продовжувати зусилля для сприяння розвитку технології блокчейн.

Посилання на повний звіт: