Fokus na ekosystém TON 2024: Technická analýza ekosystému a významné bezpečnostní incidenty

S rychlým rozvojem technologie blockchain se na scéně objevuje množství různých ekosystémů, přičemž ekosystém TON (The Open Network) vytvořený Telegramem se díky své jedinečné architektuře a silným funkcím stává postupně centrem pozornosti v oboru. Dalším důležitým důvodem je obrovská uživatelská základna Telegramu, která má více než 700 milionů aktivních uživatelů, což poskytuje širokou uživatelskou základnu pro propagaci a aplikaci TON. V roce 2024 dosáhl ekosystém TON významného pokroku v technických inovacích, rozšiřování aplikací a bezpečnostní ochraně. Tento článek komplexně analyzuje základní architekturu ekosystému TON, flexibilní mechanismus důkazů o podílu, rozšiřující případy použití a výhody, stejně jako nedávné významné bezpečnostní incidenty a jejich opatření, s cílem poskytnout čtenářům komplexní a hluboký pohled na ekosystém TON.
Základní úvod a architektura TON
TON (The Open Network) je blockchain a digitální komunikační protokol vytvořený Telegramem, který má za cíl vybudovat rychlou, bezpečnou a škálovatelnou blockchainovou platformu pro poskytování decentralizovaných aplikací a služeb uživatelům. Kombinací technologie blockchain a komunikačních funkcí Telegramu, TON dosahuje vysoké výkonnosti, bezpečnosti a škálovatelnosti. Podporuje vývojáře při vytváření různých decentralizovaných aplikací a poskytuje distribuovaná úložiště. V porovnání s tradičními platformami blockchainu má TON rychlejší zpracování a propustnost a využívá mechanismus konsensu Proof-of-Stake.
Flexibilní a škálovatelná architektura PoS
TON využívá mechanismus konsensu Proof-of-Stake a dosahuje vysoké výkonnosti a multifunkčnosti prostřednictvím svých Turingovsky úplných inteligentních smluv a asynchronního blockchainu. Rychlé a levné transakce TON jsou podporovány flexibilní a škálovatelnou architekturou řetězce. Tato architektura umožňuje snadné škálování bez ztráty výkonnosti. Dynamické dělení zahrnuje předběžně vyvinuté samostatné fragmenty s cílem, které mohou běžet současně a bránit velkým přetížením. Čas bloku TON je 5 sekund, čas pro konečné potvrzení je méně než 6 sekund.
Existující infrastruktura je rozdělena do dvou hlavních částí:
● Hlavní řetězec (Masterchain): zodpovědný za zpracování všech důležitých a klíčových dat protokolu, včetně adres validátorů a množství ověřených mincí.
● Pracovní řetězec (Workchain): sekundární řetězec připojený k hlavnímu řetězci, obsahující všechny informace o transakcích a různé inteligentní smlouvy, každý pracovní řetězec může mít různá pravidla.
Tato vícestupňová architektura nejen zvyšuje efektivitu sítě, ale také poskytuje pevný základ pro budoucí rozšíření.
Rozšiřující případy použití a výhody
S podporou perfektní technické architektury dosáhl ekosystém TON v roce 2024 významného pokroku v mnoha oblastech. Nadace TON, jako decentralizovaná autonomní organizace (DAO) provozovaná jádrovým komunitou TON, poskytuje komplexní podporu různým projektům v ekosystému, včetně podpory vývojářů a programů likviditních incentivy. Konkrétně se komunita TON vyznačuje následujícími oblastmi:
● Uvedení TON Connect 2.0: poskytuje intuitivní způsob pro připojení peněženky a aplikací, zlepšuje uživatelskou zkušenost.
● TON Verifier: kontrolor inteligentních smluv vytvořený týmem Orbs, který zvyšuje spolehlivost smluv.
● Blueprint vývojový nástroj: pomáhá vývojářům psát, testovat a nasazovat inteligentní smlouvy.
● Sandbox vývojářský nástroj: vhodný pro různé případy použití od podniků po vlády.
● Tact, Func a další nově podporované jazyky: podporují silnější programovací prostředí.
● Podpora vývojářů: Nadace TON spolupracuje s DoraHacks na organizaci online hackathonu trvajícího tři měsíce.
● Mezinárodní TON Hubs: spuštění mezinárodních center ve více městech po celém světě.
● DeFi likviditní incentivy: poskytování financí projektům pro podporu udržitelnosti v oblasti TON DeFi
Tato opatření nejen podporují prosperitu ekosystému, ale také vytvářejí pro vývojáře a uživatele bohatší a bezpečnější prostředí pro používání.
Bezpečnostní incidenty v ekosystému TON
I když ekosystém TON dosáhl mnoha pokroků v technice a aplikacích, bezpečnostní problémy zůstávají důležitým aspektem, který nelze ignorovat.
Nedávno oficiální tým TON ve svých posledních aktualizacích poděkoval týmu TonBit pod značkou BitsLab za objev klíčové zranitelnosti v TON virtuálním stroji. Tato zranitelnost, pokud by byla zneužita, mohla by vést k vyčerpání zdrojů virtuálního stroje, zhroucení systému a ovlivnit stabilitu celé sítě TON. Tým TonBit, díky svým silným technickým schopnostem, rychle identifikoval problém a navrhl efektivní řešení, čímž vytvořil bezpečnější provozní prostředí pro TON virtuální stroj a dále posílil celkovou stabilitu ekosystému TON.
Základní příčina této zranitelnosti spočívá v riziku při zpracování pokračování (continuations) v TON virtuálním stroji, kdy může být vytvořena hluboce vnořená struktura pokračování, což vyvolává rekurzivní hodnotící proces a tím vyčerpává prostor zásobníku hostitele virtuálního stroje. Tento útok na vyčerpání zdrojů může způsobit abnormální zhroucení TON virtuálního stroje, jednoduše řečeno, jedním TONem lze způsobit výpadek všech validátorů, což přímo ovlivňuje dostupnost systému.
Tým TonBit po důkladné analýze a spolupráci s Ton Core navrhl inovativní řešení, které může upravit vnitřní skokový mechanismus virtuálního stroje, aby rekurzivní volání nahradilo iterativní způsob, což účinně zabrání výskytu těchto útoků. Toto řešení již bylo implementováno v nejnovější verzi TON a poskytuje uživatelům TON bezpečnější a stabilnější provozní zkušenost.
Po reakci na tento zásadní bezpečnostní incident si tým TON důkladně uvědomil důležitost trvalého posilování bezpečnostní ochrany. Aby zajistil dlouhodobou stabilitu a bezpečnost ekosystému, tým nejenže rychle opravil zranitelnosti, ale také aktivně shrnul zkušenosti a vypracoval komplexnější bezpečnostní strategii. Na základě toho se v následujícím textu budeme zabývat tím, jak může ekosystém TON v budoucnu dále zvyšovat bezpečnost a efektivně reagovat na potenciální bezpečnostní výzvy, zatímco se rychle rozvíjí.
Dále, dne 22. května 2024, po oslavení prosperity ekosystému TON během stakingové akce došlo k útoku hackerů na stakingovou smlouvu určitého protokolu kvůli chybě v konfiguraci protokolových parametrů, což vedlo k krádeži velkého množství tokenů v kontraktu. Po incidentu projekt okamžitě pozastavil funkci vyplácení stakingových odměn a přidělil značné množství $USDT na odkupu ztracených 307,264 tokenů.
Po útoku se projekt rychle spojil s TonBit, aby provedl audit. TonBit prokázal svou profesionalitu, rychle reagoval a shromáždil tým bezpečnostních expertů, který provedl komplexní a důkladný audit jádrového kódu projektu. Bezpečnostní experti TonBit objevili 6 nízkorizikových problémů a okamžitě komunikovali s týmem projektu. Díky bohatým zkušenostem a profesionálním technickým dovednostem TonBit nejen poskytl konkrétní řešení problémů, ale také pomohl týmu rychle vyřešit všechny problémy a zajistit bezpečnost a stabilitu smlouvy.
Dále, dne 10. května 2024, tým TonBit pod značkou BitsLab zjistil, že při zpracování zpráv o převodech v TON, ačkoli je možné přidat poznámky, některé peněženky mají potenciální riziko zavádějícího uživatelského rozhraní při zobrazování těchto poznámek. Tato designová vada byla zneužita hackery, kteří manipulovali s obsahem poznámek zpráv o převodech a dokázali uživatelům zobrazit falešné informace během transakce, což vedlo k podvodným činům a způsobilo ztrátu finančních prostředků.
Aby se tento problém vyřešil, TonBit doporučuje, aby aplikace peněženek při zobrazování těchto informací zahrnovaly výrazné poznámky, které by upozornily uživatele, že tyto informace nejsou spolehlivé. Kromě toho by měl tým vývoje peněženek vylepšit design uživatelského rozhraní, aby zajistil transparentnost a spolehlivost zobrazení informací o transakcích. Uživatelé by také měli zvýšit svou schopnost rozpoznávat podezřelé informace o transakcích.
TonBit doporučuje, aby tým vývoje peněženek při zobrazování informací o transakcích zavedl víceúrovňový verifikační mechanismus, například ověřování zdroje poznámek, aby se zajistila spolehlivost informací. Kromě toho by mělo docházet k pravidelnému vzdělávání uživatelů a vydávání bezpečnostních upozornění, aby se uživatelé naučili rozpoznávat a předcházet potenciálním podvodům. Kombinací technických prostředků a vzdělávání uživatelů lze účinně snížit výskyt těchto bezpečnostních incidentů.
Existují také případy, jako je BookPad, který použil smlouvy s backdoorem k podvodnému získání prostředků a poté utekl s penězi, což stojí za zmínku a odpovídající efektivní prevenci. Dne 15. dubna 2024 BookPad vydal inteligentní smlouvu s backdoorem, která nebyla open-source, a začal předprodej. Poté, co obdrželi dostatek prostředků, využili backdoor ve smlouvě k vybrání peněz a rychle utekli.
Aby se zabránilo opakování podobných incidentů, by uživatelé měli před účastí na investičních aktivitách jakéhokoli projektu shromáždit co nejvíce informací o projektu a vybírat projekty, které jsou open-source a prošly přísnými bezpečnostními audity.
Z výše uvedeného je zřejmé, že ačkoli ekosystém TON dosáhl významného pokroku v oblasti technologií a aplikací, bezpečnostní problémy nelze podceňovat. Tým TonBit pod značkou BitsLab díky včasnému odhalení a asistenci při opravě klíčových zranitelností účinně zvýšil bezpečnost a stabilitu systému a prokázal odborné schopnosti v auditech a řešení v několika bezpečnostních incidentech. V budoucnu se ekosystém TON také bude nadále zaměřovat na posilování bezpečnostních opatření a zdokonalování bezpečnostních strategií, aby zajistil, že bude schopen efektivně reagovat na různé potenciální bezpečnostní výzvy a chránit dlouhodobou bezpečnost uživatelů a sítě.
Následně se podíváme na to, jak může ekosystém TON v průběhu neustálého rozšiřování a vývoje dále zvyšovat bezpečnost, aby zajistil stabilní běh systému a důvěru uživatelů. K tomu tým TonBit prostřednictvím podrobné analýzy aktuálních bezpečnostních výzev, kterým čelí ekosystém TON, a pokročilých ochranných technologií navrhuje zavedení přísných bezpečnostních auditů, aby se vybudovalo bezpečnější a spolehlivější ekologické prostředí. Tato opatření výrazně posílí stabilitu sítě TON a úroveň důvěry uživatelů, což podpoří trvalý zdravý rozvoj ekosystému TON.
Bezpečnostní vyhlídky ekosystému TON
Ekosystém TON se rychle rozvíjí v oblasti rozšiřování decentralizovaných aplikací (dApps) a infrastruktury, ale vzhledem k jeho jedinečné architektuře a funkcím čelí TON některým specifickým bezpečnostním výzvám. Následují bezpečnostní doporučení a nejlepší postupy pro vývojáře ekosystému TON:
Distribuce uzlů a ochrana: TON využívá technologie dělení a distribuovaných hash tabulek (DHT), aby zlepšil škálovatelnost sítě, avšak pokud není rozložení uzlů vyvážené nebo postrádá dostatečnou ochranu, může to vést k tomu, že zlé uzly budou dominovat v síti a provádět útoky na znečištění směrovacích tabulek nebo útoky na rozdělení sítě. Vývojáři by měli posílit mechanismus ověřování uzlů a zlepšit obranné schopnosti sítě zvýšením monitorování uzlů a mechanismu černé listiny.
Bezpečnost inteligentních smluv: Programování inteligentních smluv v TON se liší od jiných veřejných blockchainů, logika smluv je poměrně složitá. Vývojáři by měli striktně dodržovat nejlepší postupy bezpečného vývoje, zaměřit se na správu zdrojů kódu a kontroly hranic, aby se vyhnuli běžným zranitelnostem smluv. Provádění auditů kódu smluv a pravidelných přehledů a používání nástrojů pro testování smluv může zvýšit spolehlivost kódu.
Integrita dat a ochrana proti podvodům: Distribuované úložiště TON zvyšuje snadnost sdílení a přístupu k datům, ale také přináší riziko podvodů. Vývojáři by měli zavést vícestupňové šifrování dat a autentizační mechanismy a zahrnout ověřování konzistence dat mezi uzly, aby zajistili integritu přenosu dat.
Přijetím těchto opatření může ekosystém TON během neustálého rozšiřování udržet své vysoké úrovně bezpečnosti a stability a poskytnout uživatelům a vývojářům spolehlivější služby.
Shrnutí
V roce 2024 dosáhl ekosystém TON významných pokroků v oblasti technické architektury, rozšiřování aplikací a bezpečnostní ochrany. Jeho flexibilní a škálovatelná architektura PoS, vysoký výkon zpracování transakcí a bohaté nástroje pro vývojáře vytvořily pevný základ pro prosperitu ekosystému. Zároveň, čelící bezpečnostním výzvám, úzká spolupráce oficiálního týmu TON s bezpečnostními experty včas opravila klíčové zranitelnosti a dále posílila stabilitu a bezpečnost systému. Do budoucna, s neustálým rozvojem ekosystému TON, bude klíčové trvale sledovat a zvyšovat schopnosti bezpečnostní ochrany, aby se zajistil dlouhodobý udržitelný rozvoj. Neustálý pokrok ekosystému TON nejenže přináší nové myšlenky pro rozvoj technologie blockchain, ale také vytváří bezpečnější a efektivnější digitální svět pro uživatele a vývojáře.
Pro přečtení celého obsahu našich zpráv klikněte zde: https://bitslab.xyz/reports-page
O TonBit
TonBit, jako klíčový subbrand BitsLab, je v ekosystému TON odborníkem na bezpečnost a raným stavitelem. Jako hlavní poskytovatel bezpečnostní záruky pro blockchain TON se TonBit zaměřuje na komplexní bezpečnostní audity, včetně auditu jazyků Tact a FunC, aby se zajistila integrita a bezpečnost projektů založených na TON. Doposud TonBit úspěšně provedl audity několika známých projektů, včetně Catizen, Algebra, UTonic atd., a odhalil několik klíčových zranitelností, čímž prokázal své vynikající schopnosti v oblasti bezpečnosti blockchainu. Kromě toho TonBit úspěšně uspořádal soutěž TON CTF, která přitáhla mnoho účastníků a získala širokou pozornost, čímž dále posílila svou pozici odborníka na bezpečnost v ekosystému TON. V budoucnu bude TonBit pokračovat v ochraně bezpečnosti blockchainu a podporovat trvalý rozvoj technologií a ekosystému.
O BitsLab
BitsLab je organizace zaměřená na bezpečnost ekosystému Web3, která se snaží stát respektovanou bezpečnostní institucí v oboru a mezi uživateli. Má tři submarky: MoveBit, ScaleBit a TonBit. Zaměřuje se na vývoj infrastruktury a bezpečnostní audity pro různé ekosystémy, včetně Sui, Aptos, TON, BNB Chain, Starknet, Solana a dalších, a specializuje se na audity v různých programovacích jazycích, včetně Circom, Halo2, Move, Cairo a dalších.
Jako lídr v oblasti bezpečnosti blockchainu, BitsLab poskytuje bezpečnostní audity pro různé projekty, včetně Movement, Aptos, Tether, UniSat, Nervos CKB atd., a dodal více než 400 řešení v oblasti bezpečnosti, auditoval přes 400 000 řádků kódu a chránil aktiva v hodnotě 8 miliard dolarů, přičemž poskytoval služby více než 2 milionům uživatelů. Tým shromáždil mnoho špičkových expertů na výzkum zranitelností, kteří objevili klíčové zranitelnosti v několika známých projektech. BitsLab se snaží podporovat rozvoj bezpečnosti Web3 a podporovat zdravý růst nových ekosystémů.
Navštivte oficiální stránku BitsLab: https://bitslab.xyz/
Oficiální Twitter BitsLab: https://x.com/0xbitslab
Připojte se k oficiální komunitě Telegram: https://t.me/BitsLabHQ
Oficiální webová stránka subbrandu BitsLab:
TonBit: https://www.tonbit.xyz/
MoveBit: https://www.movebit.xyz/
ScaleBit: https://www.scalebit.xyz/
Požadavky na audit kontaktujte Telegram: @starchou