BitsLab 旗下 TonBit 接受 TON Society HK独家专访｜以创新和专业持续守护 TON 生态安全

TON 生态系统的蓬勃发展，始终建立在创新、去中心化与社区协作的坚实根基之上。在这片数字沃土中，BitsLab 旗下的 TonBit 作为 TON 官方认证的安全保障供应商（SAP），始终坚守着 TON 网络安全守护者的使命。

TonBit 目前已累计完成对 30 余个 TON 重点项目的安全审计，成功发现并协助修复 TON 上多个漏洞。同时，通过举办 TON CTF 网络安全竞赛、TON Global Hackerhouse 等系列活动，持续为生态注入安全基因以及为 TON 项目创新带来持续动能。

随着 TON 生态系统向多领域、多维度持续拓展，TonBit 正凭借其专业的安全技术能力，为整个生态构建更加稳固的安全防线。本次专访，我们将带您深入了解 TonBit 的技术成就与未来规划。

Q1：能否介绍一下 TonBit 及其在 TON 生态系统中的角色？

TonBit：TonBit 是 BitsLab 旗下的核心子品牌，作为 TON 生态系统中可信赖的安全保障供应商（SAP）和早期建设者，我们致力于通过提供全面的安全审计、漏洞检测和主动渗透测试来强化 TON 基础设施安全。作为 TON 基金会官方认可的 SAP，我们专注于审计采用 Tact 和FunC 编写的智能合约，确保基于 TON 构建的项目具备技术稳健性和长期韧性。

Q2：TonBit为TON生态项目提供哪些服务？

TonBit: 我们主要提供两大核心服务：

智能合约审计：对 Tact/FunC 合约进行深度代码审查

渗透测试：为具有重大影响的 Web3 项目提供主动安全评估

迄今为止，我们已完成超过 30 个 TON 项目的安全审计，包括 Tonstakers、Torch Finance、Fiva Protocol、Duckchain、Catizen 等重点项目。

此外，我们在漏洞挖掘领域也成果颇丰，目前已发现并协助修复了 TON 上三个漏洞，包括一个关键漏洞，一个中危漏洞，一个 TON RUNVM 漏洞。

Q3：TonBit曾主办TON CTF竞赛，这一活动的初衷是什么？

TonBit：TON CTF 竞赛旨在培育 TON 生态系统的安全优先文化。旨在吸引并挑战安全专家与开发者。参赛者将使用 FunC 和 Tact 语言进行挑战。我们认为，TON CTF 是 TON 开发者提升技能、探索安全领域的宝贵且有趣的方式，旨在推动创新、技能发展，并加深对 TON 生态中 FunC 和 Tact 语言的理解。活动吸引了来自 20 多所全球高校和安全机构，吸引了 300 余支队伍参与，极大提升了参与者在 TON 生态中的安全意识。这不仅是一场竞赛，更是为 TON 未来安全守护者搭建的孵化平台。

Q4: TON Global Hackerhouse 活动如何推动生态发展？

TonBit：2025 年我们与 TON 官方、TONX、TON Society 及 TON Core 联合举办的 TON Global Hackerhouse，汇聚了全球开发者共建 TON 生态。活动不仅吸引了顶尖项目参与，获得数百万级曝光，更推动了去中心化金融领域的创新突破，充分展现了 TON 作为可扩展区块链的现实应用潜力。

作为 TON 生态指定的安全守护者，TonBit 始终以高度警惕的姿态防范各类潜在威胁。在此次深度专访中，TonBit 安全团队为我们详细解析了三项漏洞发现——从足以瘫痪网络的"严重级"风险，到影响系统性能的"中危级"漏洞，乃至虚拟机层面的复杂攻击向量。每个案例都彰显了 TonBit 卓越的技术实力和"防患于未然"的安全理念。

Q5：TonBit 在 2024年 发现了一个 TON 虚拟机关键漏洞，能否说明其影响？

TonBit：在 2024年11月，TON 官方团队在其最新版本更新说明中，正式致谢 BitsLab 旗下的安全团队 TonBit 对于 TON 虚拟机中关键漏洞的发现工作。该漏洞若被恶意利用，可能导致虚拟机资源耗尽、系统崩溃，进而影响整个 TON 网络的稳定性。

该漏洞的根本原因在于 TON 虚拟机在处理合约延续（continuations）时的嵌套操作设计存在风险。恶意合约可以通过创建深度嵌套的延续结构，引发递归评估过程，从而耗尽虚拟机的宿主栈空间。这种资源耗尽攻击可能导致 TON 虚拟机异常崩溃，简单来说就是不用一个 TON，就可以导致所有的 Validator 宕机，直接影响系统的可用性。

TonBit 团队经过深入分析，和 Ton Core 协作提出了创新的解决方案，该方案可以调整虚拟机的内部跳转机制，以迭代方式替代递归调用，可以有效防止此类攻击的发生。该解决方案已在 TON 最新版本中得到应用，为 TON 用户提供了更安全、稳定的操作体验。

Q6：TonBit 如何处理 TON 轻节点的另一个漏洞？

TonBit：同样在 2024 年 11 月，我们发现 TON 轻量节点存在“延续参数滥用漏洞”。这个漏洞的核心在于攻击者可以利用深度嵌套的 Continuations（延续）参数来消耗节点的计算资源。简而言之，这是一种看似“合法”的请求，却可能让节点“忙到停不下来”。想象一下，一辆看似正常的车，却因为某个隐藏的小问题，始终耗费更多的燃料。这正是这个漏洞带来的问题——它悄悄地吞噬着计算资源，影响整个网络的吞吐量。

最终我们通过优化参数处理逻辑，协助 TON 团队提升轻节点性能，维护了网络的流畅性与抗攻击能力。

Q7：2025 年发现的 TON RUNVM 漏洞有什么影响?

TonBit：RUNVM 指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽 gas 的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。

我们当时已第一时间将技术细节与缓解方案提交给 TON 基金会，并协助其完成修复；并建议所有开发者在官方补丁发布后及时更新依赖库；同时在自研合约中加入更严谨的库完整性验证与 gas 管理逻辑，以防止类似问题被恶意利用。

Q8：TonBit与其他区块链安全公司相比有何独特优势？

TonBit：我们的核心竞争力体现在三大维度：

TON 专属技术专长：不仅精通 Tact 和 FunC 语言，更具备专业的渗透测试与漏洞挖掘能力。

生态深度整合：作为官方SAP，我们深度保护 TON 生态安全，已审计了超 30 个 TON 生态的重要项目。

社区共建能力：通过 CTF 竞赛、TON Global Hackerhouse 等活动增强生态社区互动以及提升社区安全意识以及加强社区建设。

我们不止于代码审计——更致力于打造坚不可摧的生态系统。

Q9：TonBit在2025-2026年有哪些重点规划？

TonBit：我们将重点推进三大战略方向：

持续守护 TON 生态安全：持续为 TON 生态中的项目提供可信赖的安全审计，开发 Tact/FunC 智能合约自动化扫描工具，持续加强渗透测试与漏洞挖掘工作，为整个生态系统构建安全防护体系

产学研合作：与顶尖学术机构建立联合实验室，开展 TON 生态安全专项研究

开发者赋能计划：通过安全培训课程和实战演练，持续提升开发者安全意识——因为安全的TON 生态始于教育筑基。

结语：作为 TON 生态的 Primary Security Assurance Provider，TonBit 始终秉持 "安全为先"的理念，通过前沿技术研发与社区共建双轮驱动，致力于构建一个以信任为基础、创新为动力的区块链安全生态体系。他们将持续深化智能合约审计、漏洞挖掘、渗透测试等核心安全服务，同时通过开发者教育计划赋能生态建设。欢迎访问 TonBit 官方 GitHub 或关注 X（原Twitter）账号，获取最新安全动态与技术成果。