BitsLab представил эксклюзивное интервью с TonBit для TON Society HK|постоянно защищает безопасность экосистемы TON с помощью инноваций и профессионализма
Процветание экосистемы TON всегда основано на инновациях, децентрализации и сотрудничестве сообщества. На этой цифровой плодородной земле TonBit от BitsLab, как официальный поставщик гарантий безопасности (SAP) TON, всегда следует миссии хранителя безопасности сети TON.
TonBit в настоящее время завершил безопасность более 30 ключевых проектов TON, успешно обнаружив и помогая исправить несколько уязвимостей в TON. В то же время, проводя такие мероприятия, как соревнования по кибербезопасности TON CTF и TON Global Hackerhouse, мы продолжаем вносить ген безопасности в экосистему и обеспечивать постоянную динамику для инноваций в проектах TON.
С расширением экосистемы TON в различные области и направления, TonBit с помощью своих профессиональных технологий безопасности создает более надежную защиту для всей экосистемы. В этом интервью мы глубже познакомим вас с техническими достижениями TonBit и его будущими планами.
Q1: Можете рассказать о TonBit и его роли в экосистеме TON?
TonBit: Будучи надежным поставщиком средств обеспечения безопасности (SAP) и одним из первых разработчиков в экосистеме TON, TonBit является основным суббрендом BitsLab, и мы стремимся укреплять безопасность инфраструктуры TON, предоставляя комплексные аудиты безопасности, обнаружение уязвимостей и упреждающее тестирование на проникновение. Как официально признанная SAP TON Foundation, мы специализируемся на аудите смарт-контрактов, написанных на Tact и FunC, чтобы гарантировать, что проекты, построенные на TON, технически надежны и устойчивы в долгосрочной перспективе.
Q2: Какие услуги предоставляет TonBit проектам экосистемы TON?
TonBit: Мы в основном предоставляем две основные услуги:
Пенетрационное тестирование: предоставление активной оценки безопасности для значимых проектов Web3
На данный момент мы завершили более 30 безопасных аудитов TON проектов, включая ключевые проекты Tonstakers, Torch Finance, Fiva Protocol, Duckchain, Catizen и другие.
Кроме того, у нас также есть значительные достижения в области выявления уязвимостей, мы уже обнаружили и помогли исправить три уязвимости на TON, включая одну критическую уязвимость, одну уязвимость средней опасности и одну уязвимость TON RUNVM.
Q3: TonBit ранее проводил конкурс TON CTF, какова была изначальная цель этого мероприятия?
Конкурс TonBit: TON CTF направлен на развитие культуры безопасности в экосистеме TON. Предназначен для привлечения и вызова экспертам по безопасности и разработчикам. Конкурсантам будет предложено использовать языки FunC и Tact. Мы считаем, что TON CTF — это ценный и интересный способ для разработчиков TON повысить квалификацию и изучить пространство безопасности, стимулируя инновации, развитие навыков и более глубокое понимание языков FunC и Tact в экосистеме TON. В мероприятии приняли участие более 300 команд из более чем 20 мировых университетов и агентств безопасности, что значительно повысило осведомленность участников о безопасности в экосистеме TON. Это не только соревнование, но и инкубационная платформа для будущих стражей безопасности TON.
Q4: Как мероприятие TON Global Hackerhouse способствует развитию экосистемы?
TonBit: В 2025 году мы совместно с официальным TON, TONX, TON Society и TON Core проведем TON Global Hackerhouse, собрав мировых разработчиков для совместного создания экосистемы TON. Мероприятие не только привлекло участие лучших проектов и получило миллионы просмотров, но и способствовало инновационным прорывам в области децентрализованных финансов, полностью продемонстрировав реальный потенциал TON как масштабируемой блокчейн-платформы.
Как назначенный страж безопасности экосистемы TON, TonBit всегда проявлял бдительность в отношении всех видов потенциальных угроз. В этом подробном интервью команда безопасности TonBit анализирует три обнаруженных уязвимости — от «серьезных» рисков, которые могут нанести ущерб сети, до уязвимостей «среднего уровня», влияющих на производительность системы, и сложных векторов атак на уровне виртуальных машин. Каждый случай демонстрирует превосходное техническое мастерство TonBit и философию безопасности «предотвратить до того, как это произойдет».
Вопрос 5: TonBit обнаружил ключевую уязвимость виртуальной машины TON в 2024 году. Можете ли вы объяснить ее влияние?
TonBit: В ноябре 2024 года официальная команда TON в своем обновлении версии официально поблагодарила команду безопасности TonBit, принадлежащую BitsLab, за работу по обнаружению ключевой уязвимости в виртуальной машине TON. Если эта уязвимость будет злоупотреблена, это может привести к исчерпанию ресурсов виртуальной машины, сбоям системы и, следовательно, повлиять на стабильность всей сети TON.
Коренная причина уязвимости заключается в том, что в проекте TON виртуальная машина имеет риски в дизайне вложенных операций при обработке продолжений (continuations) контрактов. Зловредные контракты могут создать глубоко вложенные структуры продолжений, что вызовет рекурсивный процесс оценки и приведет к исчерпанию пространства стека хоста виртуальной машины. Эта атака на исчерпание ресурсов может привести к аварийному сбою виртуальной машины TON, проще говоря, без использования одного TON можно привести к падению всех валидаторов, что напрямую повлияет на доступность системы.
Команда TonBit провела глубокий анализ и в сотрудничестве с Ton Core предложила инновационное решение, которое может изменить внутренний механизм переходов виртуальной машины, заменяя рекурсивные вызовы итеративным способом, что эффективно предотвращает возникновение таких атак. Это решение уже внедрено в последнюю версию TON, предоставляя пользователям TON более безопасный и стабильный опыт работы.
Q6: Как TonBit обрабатывает еще одну уязвимость легких узлов TON?
TonBit: В ноябре 2024 года мы обнаружили у TON легких узлов уязвимость "злоупотребление параметрами продолжения". Суть этой уязвимости заключается в том, что злоумышленник может использовать глубоко вложенные параметры Continuations (продолжения), чтобы исчерпать вычислительные ресурсы узла. Проще говоря, это кажется "законным" запросом, который может заставить узел "всегда быть занятым". Представьте себе, что нормальный автомобиль из-за какой-то скрытой проблемы постоянно расходует больше топлива. Именно эту проблему и создает данная уязвимость — она незаметно поглощает вычислительные ресурсы, влияя на производительность всей сети.
В конечном итоге, мы оптимизировали параметры обработки логики, чтобы помочь команде TON улучшить производительность легких узлов, поддерживая плавность работы сети и ее устойчивость к атакам.
Q7: Каковы последствия уязвимости TON RUNVM, обнаруженной в 2025 году?
TonBit: Уязвимость миграции состояния RUNVM, не являющаяся атомарной. Злоумышленник может, воспользовавшись моментом исчерпания gas в дочерней виртуальной машине, загрязнить библиотеки родительской виртуальной машины и вызвать сбой последующих вызовов, что в конечном итоге приведет к аномальному поведению контрактов, зависящих от целостности библиотек.
В то время мы как можно скорее отправили технические детали и план по смягчению последствий в TON Foundation и помогли им завершить восстановление; Также рекомендуется, чтобы все разработчики своевременно обновляли библиотеку зависимостей после выпуска официального патча; В то же время в самостоятельно разработанный контракт добавляется более строгая проверка целостности библиотеки и логика управления газом, чтобы предотвратить злонамеренное использование подобных проблем.
Q8: Какие уникальные преимущества есть у TonBit по сравнению с другими компаниями по безопасности блокчейна?
TonBit: Наша основная конкурентоспособность проявляется в трех измерениях:
Специализация TON: не только владение языками Tact и FunC, но и профессиональные навыки в области тестирования на проникновение и поиска уязвимостей.
Экосистема глубокой интеграции: как официальный SAP, мы глубоко защищаем безопасность экосистемы TON, мы провели аудит более 30 важных проектов экосистемы TON.
Способности совместного строительства сообщества: через мероприятия, такие как CTF соревнования и TON Global Hackerhouse, улучшение взаимодействия в экосистеме сообщества, повышение осведомленности о безопасности сообщества и укрепление его строительства.
Мы не ограничиваемся аудитом кода — мы стремимся создать неразрушимую экосистему.
Q9: Какие ключевые планы у TonBit на 2025-2026 годы?
TonBit: Мы сосредоточим усилия на трех стратегических направлениях:
Непрерывная защита безопасности экосистемы TON: постоянное предоставление надежных аудитов безопасности для проектов в экосистеме TON, разработка автоматизированных инструментов сканирования смарт-контрактов Tact/FunC, постоянное усиление работы по тестированию на проникновение и обнаружению уязвимостей, создание системы безопасности для всей экосистемы.
Сотрудничество между производством, обучением и исследованиями: создание совместных лабораторий с ведущими научными учреждениями для проведения специального исследования по безопасности экосистемы TON
Программа расширения возможностей разработчиков: через курсы по безопасности и практические тренировки постоянно повышается осведомленность разработчиков о безопасности — потому что безопасная экосистема TON начинается с образования.
Вывод: Являясь основным поставщиком услуг по обеспечению безопасности в экосистеме TON, TonBit всегда придерживалась концепции «безопасность прежде всего» и стремится к созданию основанной на доверии и инновациях экосистемы безопасности блокчейна с помощью передовых технологических исследований и разработок, а также совместного создания сообщества. Они продолжат углублять основные услуги безопасности, такие как аудит смарт-контрактов, анализ уязвимостей и тестирование на проникновение, а также расширять возможности создания экосистем с помощью образовательных программ для разработчиков. Добро пожаловать на официальный GitHub TonBit или подпишитесь на аккаунт X (ранее Twitter), чтобы получать последние обновления безопасности и технические достижения.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
BitsLab представил эксклюзивное интервью с TonBit для TON Society HK|постоянно защищает безопасность экосистемы TON с помощью инноваций и профессионализма
Процветание экосистемы TON всегда основано на инновациях, децентрализации и сотрудничестве сообщества. На этой цифровой плодородной земле TonBit от BitsLab, как официальный поставщик гарантий безопасности (SAP) TON, всегда следует миссии хранителя безопасности сети TON.
TonBit в настоящее время завершил безопасность более 30 ключевых проектов TON, успешно обнаружив и помогая исправить несколько уязвимостей в TON. В то же время, проводя такие мероприятия, как соревнования по кибербезопасности TON CTF и TON Global Hackerhouse, мы продолжаем вносить ген безопасности в экосистему и обеспечивать постоянную динамику для инноваций в проектах TON.
С расширением экосистемы TON в различные области и направления, TonBit с помощью своих профессиональных технологий безопасности создает более надежную защиту для всей экосистемы. В этом интервью мы глубже познакомим вас с техническими достижениями TonBit и его будущими планами.
Q1: Можете рассказать о TonBit и его роли в экосистеме TON?
TonBit: Будучи надежным поставщиком средств обеспечения безопасности (SAP) и одним из первых разработчиков в экосистеме TON, TonBit является основным суббрендом BitsLab, и мы стремимся укреплять безопасность инфраструктуры TON, предоставляя комплексные аудиты безопасности, обнаружение уязвимостей и упреждающее тестирование на проникновение. Как официально признанная SAP TON Foundation, мы специализируемся на аудите смарт-контрактов, написанных на Tact и FunC, чтобы гарантировать, что проекты, построенные на TON, технически надежны и устойчивы в долгосрочной перспективе.
Q2: Какие услуги предоставляет TonBit проектам экосистемы TON?
TonBit: Мы в основном предоставляем две основные услуги:
Аудит смарт-контрактов: глубокий кодовый обзор контрактов Tact/FunC
Пенетрационное тестирование: предоставление активной оценки безопасности для значимых проектов Web3
На данный момент мы завершили более 30 безопасных аудитов TON проектов, включая ключевые проекты Tonstakers, Torch Finance, Fiva Protocol, Duckchain, Catizen и другие.
Кроме того, у нас также есть значительные достижения в области выявления уязвимостей, мы уже обнаружили и помогли исправить три уязвимости на TON, включая одну критическую уязвимость, одну уязвимость средней опасности и одну уязвимость TON RUNVM.
Q3: TonBit ранее проводил конкурс TON CTF, какова была изначальная цель этого мероприятия?
Конкурс TonBit: TON CTF направлен на развитие культуры безопасности в экосистеме TON. Предназначен для привлечения и вызова экспертам по безопасности и разработчикам. Конкурсантам будет предложено использовать языки FunC и Tact. Мы считаем, что TON CTF — это ценный и интересный способ для разработчиков TON повысить квалификацию и изучить пространство безопасности, стимулируя инновации, развитие навыков и более глубокое понимание языков FunC и Tact в экосистеме TON. В мероприятии приняли участие более 300 команд из более чем 20 мировых университетов и агентств безопасности, что значительно повысило осведомленность участников о безопасности в экосистеме TON. Это не только соревнование, но и инкубационная платформа для будущих стражей безопасности TON.
Q4: Как мероприятие TON Global Hackerhouse способствует развитию экосистемы?
TonBit: В 2025 году мы совместно с официальным TON, TONX, TON Society и TON Core проведем TON Global Hackerhouse, собрав мировых разработчиков для совместного создания экосистемы TON. Мероприятие не только привлекло участие лучших проектов и получило миллионы просмотров, но и способствовало инновационным прорывам в области децентрализованных финансов, полностью продемонстрировав реальный потенциал TON как масштабируемой блокчейн-платформы.
Как назначенный страж безопасности экосистемы TON, TonBit всегда проявлял бдительность в отношении всех видов потенциальных угроз. В этом подробном интервью команда безопасности TonBit анализирует три обнаруженных уязвимости — от «серьезных» рисков, которые могут нанести ущерб сети, до уязвимостей «среднего уровня», влияющих на производительность системы, и сложных векторов атак на уровне виртуальных машин. Каждый случай демонстрирует превосходное техническое мастерство TonBit и философию безопасности «предотвратить до того, как это произойдет».
Вопрос 5: TonBit обнаружил ключевую уязвимость виртуальной машины TON в 2024 году. Можете ли вы объяснить ее влияние?
TonBit: В ноябре 2024 года официальная команда TON в своем обновлении версии официально поблагодарила команду безопасности TonBit, принадлежащую BitsLab, за работу по обнаружению ключевой уязвимости в виртуальной машине TON. Если эта уязвимость будет злоупотреблена, это может привести к исчерпанию ресурсов виртуальной машины, сбоям системы и, следовательно, повлиять на стабильность всей сети TON.
Коренная причина уязвимости заключается в том, что в проекте TON виртуальная машина имеет риски в дизайне вложенных операций при обработке продолжений (continuations) контрактов. Зловредные контракты могут создать глубоко вложенные структуры продолжений, что вызовет рекурсивный процесс оценки и приведет к исчерпанию пространства стека хоста виртуальной машины. Эта атака на исчерпание ресурсов может привести к аварийному сбою виртуальной машины TON, проще говоря, без использования одного TON можно привести к падению всех валидаторов, что напрямую повлияет на доступность системы.
Команда TonBit провела глубокий анализ и в сотрудничестве с Ton Core предложила инновационное решение, которое может изменить внутренний механизм переходов виртуальной машины, заменяя рекурсивные вызовы итеративным способом, что эффективно предотвращает возникновение таких атак. Это решение уже внедрено в последнюю версию TON, предоставляя пользователям TON более безопасный и стабильный опыт работы.
Q6: Как TonBit обрабатывает еще одну уязвимость легких узлов TON?
TonBit: В ноябре 2024 года мы обнаружили у TON легких узлов уязвимость "злоупотребление параметрами продолжения". Суть этой уязвимости заключается в том, что злоумышленник может использовать глубоко вложенные параметры Continuations (продолжения), чтобы исчерпать вычислительные ресурсы узла. Проще говоря, это кажется "законным" запросом, который может заставить узел "всегда быть занятым". Представьте себе, что нормальный автомобиль из-за какой-то скрытой проблемы постоянно расходует больше топлива. Именно эту проблему и создает данная уязвимость — она незаметно поглощает вычислительные ресурсы, влияя на производительность всей сети.
В конечном итоге, мы оптимизировали параметры обработки логики, чтобы помочь команде TON улучшить производительность легких узлов, поддерживая плавность работы сети и ее устойчивость к атакам.
Q7: Каковы последствия уязвимости TON RUNVM, обнаруженной в 2025 году?
TonBit: Уязвимость миграции состояния RUNVM, не являющаяся атомарной. Злоумышленник может, воспользовавшись моментом исчерпания gas в дочерней виртуальной машине, загрязнить библиотеки родительской виртуальной машины и вызвать сбой последующих вызовов, что в конечном итоге приведет к аномальному поведению контрактов, зависящих от целостности библиотек.
В то время мы как можно скорее отправили технические детали и план по смягчению последствий в TON Foundation и помогли им завершить восстановление; Также рекомендуется, чтобы все разработчики своевременно обновляли библиотеку зависимостей после выпуска официального патча; В то же время в самостоятельно разработанный контракт добавляется более строгая проверка целостности библиотеки и логика управления газом, чтобы предотвратить злонамеренное использование подобных проблем.
Q8: Какие уникальные преимущества есть у TonBit по сравнению с другими компаниями по безопасности блокчейна?
TonBit: Наша основная конкурентоспособность проявляется в трех измерениях:
Специализация TON: не только владение языками Tact и FunC, но и профессиональные навыки в области тестирования на проникновение и поиска уязвимостей.
Экосистема глубокой интеграции: как официальный SAP, мы глубоко защищаем безопасность экосистемы TON, мы провели аудит более 30 важных проектов экосистемы TON.
Способности совместного строительства сообщества: через мероприятия, такие как CTF соревнования и TON Global Hackerhouse, улучшение взаимодействия в экосистеме сообщества, повышение осведомленности о безопасности сообщества и укрепление его строительства.
Мы не ограничиваемся аудитом кода — мы стремимся создать неразрушимую экосистему.
Q9: Какие ключевые планы у TonBit на 2025-2026 годы?
TonBit: Мы сосредоточим усилия на трех стратегических направлениях:
Непрерывная защита безопасности экосистемы TON: постоянное предоставление надежных аудитов безопасности для проектов в экосистеме TON, разработка автоматизированных инструментов сканирования смарт-контрактов Tact/FunC, постоянное усиление работы по тестированию на проникновение и обнаружению уязвимостей, создание системы безопасности для всей экосистемы.
Сотрудничество между производством, обучением и исследованиями: создание совместных лабораторий с ведущими научными учреждениями для проведения специального исследования по безопасности экосистемы TON
Программа расширения возможностей разработчиков: через курсы по безопасности и практические тренировки постоянно повышается осведомленность разработчиков о безопасности — потому что безопасная экосистема TON начинается с образования.
Вывод: Являясь основным поставщиком услуг по обеспечению безопасности в экосистеме TON, TonBit всегда придерживалась концепции «безопасность прежде всего» и стремится к созданию основанной на доверии и инновациях экосистемы безопасности блокчейна с помощью передовых технологических исследований и разработок, а также совместного создания сообщества. Они продолжат углублять основные услуги безопасности, такие как аудит смарт-контрактов, анализ уязвимостей и тестирование на проникновение, а также расширять возможности создания экосистем с помощью образовательных программ для разработчиков. Добро пожаловать на официальный GitHub TonBit или подпишитесь на аккаунт X (ранее Twitter), чтобы получать последние обновления безопасности и технические достижения.