1. はじめに
このレポートは、Web3 ブロックチェーンのセキュリティ監査会社である BitsLab のサブブランドである TonBit とそのパートナーである TONX が共同で作成しています。ブロックチェーン技術が開発を続け、より広く使用されるようになるにつれて、TONエコシステムは2024年も引き続き力強い成長の勢いを示し、多くの開発者、投資家、ユーザーの注目を集めるでしょう。
2024 年、TON エコシステムは技術革新、アプリケーション実装、コミュニティ構築において引き続き大きな進歩を遂げ、ブロックチェーン分野での地位をさらに強化するでしょう。しかし、エコシステムの急速な発展に伴い、セキュリティの問題がますます顕著になってきています。進化するセキュリティ脅威に直面して、TON エコシステムではどのように効果的に防止し対応するかが重要な問題となっています。
2. TONエコシステムの概要
2.1 TON エコシステムの概要
基本的な紹介と構造
TON (The Open Network) は、Telegram によって作成されたブロックチェーンおよびデジタル通信プロトコルであり、ユーザーに分散型アプリケーションとサービスを提供する、高速で安全かつスケーラブルなブロックチェーン プラットフォームを構築することを目的としています。 TONはブロックチェーン技術とTelegramの通信機能を組み合わせることで、高性能、高セキュリティ、高拡張性を実現します。開発者によるさまざまな分散アプリケーションの構築をサポートし、分散ストレージ ソリューションを提供します。従来のブロックチェーンプラットフォームと比較して、TONは処理速度とスループットが速く、Proof-of-Stakeコンセンサスメカニズムを採用しています。
2.2 TONを選ぶ理由
TON は、ビットコインやイーサリアムの強力な流動性とコミュニティと競合する際に、独自の利点を提供します。 Vitalik Buterin が提案したブロックチェーンのトリレンマは、セキュリティ、スケーラビリティ、効率のバランスをとる際にレイヤ 1 ネットワークが直面する課題を説明しています。ビットコインとイーサリアムにはそれぞれ長所と短所がありますが、TON は柔軟でシャード可能な PoS アーキテクチャでこれらの課題の多くを克服します。
2.2.1 柔軟でシャーディング可能な PoS アーキテクチャ
TON はプルーフ・オブ・ステークのコンセンサスメカニズムを使用し、チューリング完全スマートコントラクトと非同期ブロックチェーンを通じて高いパフォーマンスと多用途性を実現します。 TON の超高速かつ低コストのトランザクションは、チェーンの柔軟でシャーディング可能なアーキテクチャによって強化されています。このアーキテクチャにより、パフォーマンスを損なうことなく簡単に拡張できます。動的シャーディングには、同時に実行して大量のバックログを防ぐことができる独自の目的を持つ個別のシャードの初期開発が含まれます。 TON のブロック時間は 5 秒、ファイナライズ時間は 6 秒未満です。
既存のインフラストラクチャは 2 つの主要な部分に分かれています。
● マスターチェーン: 検証者のアドレスや検証されたコインの量など、プロトコルのすべての重要かつ重要なデータの処理を担当します。
● ワークチェーン: メイン チェーンに接続されたセカンダリ チェーン。すべてのトランザクション情報とさまざまなスマート コントラクトが含まれます。各ワークチェーンには異なるルールを設定できます。
2.2.2 拡張された使用例と利点
TON Foundation は TON コア コミュニティによって運営される DAO であり、開発者サポートや流動性インセンティブ プログラムなど、TON エコシステム内のプロジェクトにさまざまなサポートを提供します。 2024 年、TON コミュニティはさまざまな面で大きな進歩を遂げました。
● TON Connect 2.0 の開始: ウォレットとアプリケーションを接続する直感的な方法を提供し、ユーザー エクスペリエンスを向上させます。
● TON Verifier: Orbs チームによって作成されたスマート コントラクト チェッカーで、契約の信頼性を向上させます。
● ブループリント開発ツール: 開発者がスマート コントラクトを作成、テスト、展開するのを支援します。
● サンドボックス開発者キット: 企業から政府までの幅広いユースケース向け。
● Tact 言語のベータ版: より強力なプログラミング環境を推進します。
● TON 協会の国際化: 世界中の多くの都市に国際センターが設立されました。
● DeFi流動性インセンティブプラン:TON DeFi分野の持続可能性を促進するプロジェクトに資金を提供します。
2.3 TON開発の方向性と2024年の目標の概要
TON の開発ロードマップには、ステーブルコイン ツールキット、シャーディング ツール、BTC、ETH、BNB のネイティブ ブリッジングなど、多くの興味深い計画が含まれています。
● ガス料金無料取引: TON は、より多くのユーザーを引き付けるために、特定の状況下でガス料金を補助する場合があります。
● 検証ノードとパッケージング ノードの分離: これは TON のスケーラビリティにおける大幅なアップグレードであり、2028 年までに 5 億人の Telegram ユーザーを獲得する予定です。
● エレクタおよび構成契約の更新: ユーザーがネットワーク提案に投票できるようにします。
● TON ステーブルコイン ツールキット: 誰でも現地の法定通貨にペッグされたアルゴリズム ステーブルコインを発行できるようにします。
● Jetton Bridge: ユーザーが他のチェーンに TON トークンを送信できるようにします。
● ETH、BNB、BTC ブリッジ: 主要な暗号通貨を TON に導入するための公式ブリッジを開始します。
● 非ネイティブ トークン: TON ユーザーがネイティブのようなトークンを作成できるようにします。
3. 生態系の発展
3.1 生態学的概要
TON財団の公式Webサイトには、分散型金融(DeFi)、ゲーム、ソーシャルメディア、ツールアプリケーションなど、幅広い分野をカバーする1,000近くのアプリケーションが掲載されている。これらのプロジェクトを通じて、TON 財団はブロックチェーン技術におけるリーダーシップを実証し、イノベーションとエコシステムの開発を推進します。
3.2 TONエコシステムの主要指標
2024 年 7 月 27 日の時点で、TON チェーン上の検証ノードの数は 383 で、約束された $TON の総数は 5 億 9,000 万ドルを超え、29 か国に分散されています。毎日のアクティブ アドレスの数は 373,000 に達し、前年比 5360% 増加しました。 TONネットワークのDeFiエコシステムは強力な発展の勢いを示しており、独立ユーザーの数は1,784,089人に達し、ロックアップ総量(TVL)は7億630万7,873米ドル、流動性プロバイダーの数は26,297社に達しています。
3.3 TON がどのようにして強力な分散型ゲーム プラットフォームになることができるか
3.3.1 TON に基づいて分散型ゲームを構築する主な理由
TON ブロックチェーンに基づいた分散型ゲームの開発は、企業や開発者に次のような一連の利点をもたらします。
● Telegram との統合: 月間 9 億人を超えるアクティブ ユーザーにアクセスを提供します。
● 強力なユーザー獲得および維持ツール: Telegram アプリケーション センターや広告ツールなど。
● 高速かつ効率的なブロックチェーン: 1 秒あたり 100,000 件を超えるトランザクションを処理し、手数料を低く抑えます。
● 多様な収益化の機会: アプリ内広告や取引可能な代替不可能なトークンなど。
● シンプルでアクセスしやすい: GameFi Web3 開発者とプレーヤーに適したツールの完全なセットを提供します。
4. TON生態安全保障研究
4.1 TON でセキュリティ開発を行う方法
スマート コントラクトのセキュリティを確保するには、TON エコシステムにおけるいくつかの重要なセキュリティ対策を以下に示します。
1. アクセス制御
説明: 契約内に、特定の許可されたユーザーの実行を必要とする重要なロジックや機密性の高い操作がある場合、攻撃者が機密性の高い操作を実行して重大な損害を引き起こすことを防ぐために、アクセス制御を実装する必要があります。
練習する:
➢ どの操作に権限制御が必要かを判断します。
➢ メッセージの送信者を確認して、権限が必要な操作へのアクセスを制限します。
➢ アクセス制御ポリシーを定期的に見直して更新し、契約要件の変更に適応します。
具体的な提案については、以下を参照してください。
https://github.com/ton-blockchain/TEPs/pull/180
https://github.com/ton-blockchain/TEPs/pull/181
2. メッセージ入力の確認
説明: スマート コントラクトの外部入力の適切な検証やフィルタリングが欠如していると、悪意のあるユーザーや攻撃者が悪意のあるデータを入力する可能性があり、それが危険な動作や脆弱性につながる可能性があります。
練習する:
➢ データ型の検証、境界条件のチェック、ユーザー入力のサニタイズなど、すべての外部入力の厳密な検証とフィルタリングを実行します。
➢ エッジケースや予期しない入力を含む、考えられるすべての入力シナリオを考慮します。
➢ 入力検証ロジックを定期的に監査およびテストします。
3. ガス使用量を確認する
説明: 内部メッセージを処理する場合、送信者は通常、Gas 使用料を支払う必要があります。外部メッセージを処理する場合、契約によりガス使用料が支払われます。これは、外部メッセージでのガスの使用に注意する必要があることを意味します。契約のガス使用量は常にテストして、すべてが期待どおりに機能していることを確認し、契約の残高を使い果たす可能性のあるバグを回避する必要があります。
練習する:
➢ 開発中のガス使用量を監視し、最適化します。
➢ ガス制限を使用して、コストのかかる操作を防止します。
➢ さまざまなシナリオの下で契約のガス消費量を定期的にテストします。
4. タイムスタンプの依存関係
説明: 一部のスマート コントラクトの動作はブロック タイムスタンプに依存しており、ブロック タイムスタンプはバリデーターによって操作される可能性があります。たとえば、検証ノードは、特定のトランザクションを選択的に含めたり除外したり、特定の目的を果たすためにタイムスタンプを調整したりできます。この動作により、コントラクト ロジックが操作され、セキュリティ リスクが生じる可能性があります。
練習する:
➢ 重要な論理的判断を行うために、ブロックのタイムスタンプに直接依存することは避けてください。
➢ タイムスタンプを使用する必要がある場合は、より信頼性が高く、制御不可能な方法を必ず使用してください。
➢ 時間バッファメカニズムを採用して、時間を一定の範囲内で変更できるようにし、単一時点への依存を軽減します。
➢ 契約ロジックを定期的に見直して、タイムスタンプ操作の影響を受けていないことを確認します。
5. 整数オーバーフロー
説明: 整数のオーバーフローとアンダーフローは、変数で表される範囲を超える指数演算であり、不正確な計算結果が発生します。整数オーバーフローは通常、加算、減算、乗算などの演算で発生します。チェックしないままにしておくと、残高計算の誤りや予期せぬ資金移動など、重大なセキュリティ上の問題が発生する可能性があります。
練習する:
➢ 安全な数学ライブラリを使用して整数演算を処理します。
➢ すべての数学演算の前後にオーバーフロー チェックを追加します。
➢ コントラクト コードを定期的に監査して、すべての整数演算が保護されていることを確認します。
6. 丸め誤差
説明: 丸め誤差リスクとは、数値演算における精度の制限または不適切な丸め方法に起因する計算結果の誤差を指します。特に通貨や高精度の数値を扱う場合、丸め誤差により資金の損失や不公平な分配が発生する可能性があります。
練習する:
➢ 金融操作を処理するには、高精度数値ライブラリまたは固定小数点数値ライブラリを使用します。
➢ 数値演算ロジックを定期的にテストおよび検証し、精度が期待どおりであることを確認します。
➢ 一貫性を確保するために、コード内の丸め方法を明確にマークします。
7. サービス妨害
説明: サービス拒否リスクとは、スマート コントラクトのコンピューティング リソースを消費したり、エラー状態を引き起こしたりして、コントラクトが正常に実行されなかったり、無限の操作に陥ったりすることを指します。これにより、正規のユーザーが契約を操作したり、契約ステータスの更新さえできなくなる可能性があります。
練習する:
➢ 長時間実行される操作を避けるために、ループの数または再帰の深さを制限します。
➢ ガス不足によるトランザクションの失敗を避けるために、キー操作の前にガスの残量を確認してください。
➢ 契約ロジックを定期的に見直して最適化し、効率性と信頼性を確保します。
➢ イベント ログを使用して重要な操作を記録し、トラブルシューティングと回復を容易にします。
8. ビジネスロジック
説明: ビジネス ロジックの脆弱性とは、ビジネス プロセスを実装する際のスマート コントラクトの設計上の欠陥または実装エラーを指し、特定の状況下でコントラクトが異常な動作を引き起こす原因となります。これらの脆弱性は悪意のあるユーザーによって悪用される可能性があり、資金の損失、データの改ざん、または契約機能の障害などの重大な結果につながる可能性があります。通常、ビジネス ロジックの脆弱性はコーディング エラーではなく、ビジネス要件とプロセスの誤解または不完全な実装です。
練習する:
➢ 正しい論理設計を保証するためのビジネス要件の深い理解と分析。
➢ 定期的なコード監査とロジック検証を実施して、タイムリーに脆弱性を発見して修正します。
➢ 考えられるすべてのビジネス シナリオをカバーする包括的なテスト ケースを作成します。
上記のセキュリティ実践を通じて、スマートコントラクトのセキュリティを大幅に向上させ、リスクを軽減し、契約の安定した運用とユーザーの資金の安全を確保することができます。
4.2 TONの生態安全保障事件のレビュー
2024 年、TON エコシステムで複数のセキュリティ インシデントが発生し、セキュリティ上の課題が明らかになりました。以下に、いくつかの重要なイベントの詳細な説明、イベントの原因、影響、解決策の分析、およびいくつかの典型的なセキュリティ脆弱性の一覧を示します。
1. 特定プロトコルのプレッジコントラクトが攻撃され、トークンが大量に損失
日時: 2024 年 5 月 22 日
損失額: /
根本原因: パラメータ設定エラー
説明する:
TONエコシステムの隆盛を祝うステーキングイベント後、プロトコルパラメータの設定ミスにより、あるプロトコルのステーキングコントラクトがハッキングされ、コントラクト内の大量のトークンが盗まれました。事件後、プロジェクトチームはただちにステーキング報酬の回収機能を停止し、失われた307,264トークンの買い戻しに多額のUSDTを割り当てました。
攻撃後、プロジェクトは監査のためにすぐに TonBit に連絡しました。 TonBit は、迅速に対応し、セキュリティ専門家のチームを動員してプロジェクトのコア コードの包括的かつ詳細なセキュリティ監査を実施することで、そのプロフェッショナリズムを実証しました。 TonBit のセキュリティ専門家は 6 つの低リスクの問題を発見し、すぐにプロジェクト チームと詳細に連絡しました。豊富な経験と専門的な技術力を備えた TonBit は、問題に対する具体的な解決策を提供しただけでなく、チームがすべての問題の修復作業を迅速に完了できるよう支援し、契約の安全性と安定性を確保しました。
TonBit 監査によって検出された構成に関連する問題:
解決策: パラメータ設定を変更する
2. ハッカーはウォレットを使用して制御可能なコメント情報を表示し、ユーザーを誤解させます。
日時: 2024 年 5 月 10 日
損失額:22,000トン
根本原因: 取引時にウォレットに表示されるコメント情報がユーザーに誤解を与える可能性があります。
説明する:
Ton で転送メッセージを処理するときにコメントを追加できますが、これらのコメントを表示する際の一部のウォレットの UI デザインは誤解を招く可能性があります。この設計上の欠陥はハッカーによって悪用され、転送メッセージの注釈内容を操作することで、取引プロセス中にユーザーに虚偽の情報を表示し、それによってユーザーが誤操作し、金銭的損失を引き起こす可能性があります。
解決:
この問題を解決するには、ウォレット アプリケーションは、この情報を表示するときに目を引く注釈を追加して、コンテンツが信頼できないことをユーザーに思い出させる必要があります。さらに、ウォレット開発チームは、取引情報表示の透明性と信頼性を確保するために UI デザインを改善する必要があります。同時に、ユーザーは不審な取引情報を特定し、警戒する能力を向上させる必要もあります。
さらなる対策:
TonBitは、ウォレット開発チームに対し、トランザクションアノテーション情報を表示する際に、情報の信頼性を確保するためにアノテーション情報のソース検証など、多層検証メカニズムを導入することを推奨しています。さらに、当社は定期的にユーザー教育を実施し、ユーザーが潜在的な不正行為を特定して防止できるように安全に関するヒントを公開しています。技術的手段とユーザー教育を組み合わせることで、このようなセキュリティ インシデントの発生を効果的に減らすことができます。
3.BookPadはバックドア契約を利用して資金を騙し取り、その金を持ち逃げします。
時期: 2024 年 4 月 15 日
損失額:74,424トン
根本原因: BookPad はバックドア契約を使用してユーザーの資金を吸い上げ、その後逃走しました。
説明する:
BookPad はバックドアかつ非オープンソースのスマート コントラクトをリリースし、プレセール活動を開始しました。十分な資金を受け取った後、彼らは契約のバックドアを使用して資金を引き出し、すぐにそのお金を持ち逃げしました。
解決:
同様の事件の再発を防ぐために、ユーザーはプロジェクトの投資活動に参加する前にプロジェクト関係者に関する情報をできる限り収集し、オープンソースで厳格なセキュリティ監査を受けたプロジェクトを選択する必要があります。
TonBit は、ユーザーが次の点に特別な注意を払うことをお勧めします。
1. オープン ソース プロジェクト: スマート コントラクト コードがオープン ソースであることを確認します。これにより、独立したセキュリティ専門家がコードをレビューして、隠れた脆弱性や悪意のあるコードがないことを確認できます。
2. セキュリティ監査: 有名なセキュリティ監査機関によって監査されたプロジェクトを選択します。セキュリティ監査により、契約内の潜在的な脆弱性を発見して修正し、追加の保護を提供できます。
3. プロジェクトの背景調査: プロジェクトの当事者の背景、チームメンバーの信頼性、歴史的記録を調査します。透明性が高く、評判の良いプロジェクト当事者はより信頼できます。
4. コミュニティからのフィードバック: プロジェクトに関するコミュニティからのフィードバックに注意を払い、ディスカッションに参加し、プロジェクトの評判と潜在的なリスクを理解します。
さらなる対策:
TonBit は、新しいプロジェクトがセキュリティ基準を満たしていることを確認するために、新しいプロジェクトの適格性レビューを実施するために、より厳格な監督とレビューのメカニズムを TON エコシステムに導入することを推奨しています。さらに、公開契約コードベースを設定し、承認された契約のみを使用できます。これにより、ユーザーの資金が盗まれるリスクが大幅に軽減され、TON エコシステム全体のセキュリティと信頼性が向上します。
5 ユーザーが TON と Telegram で安全を保つ方法
TON と Telegram エコシステムの急速な発展に伴い、現在 3,800 万を超えるアクティブなアカウントが存在しており、それに伴う注目も大きなリスクをもたらしています。
詐欺師や悪意のある攻撃者は、流入してくる初心者ユーザーをターゲットにしており、最も安全なエコシステムであっても、潜在的なリスクを理解するために常に警戒を続けることが重要です。これらは、より注意を払う必要がある最も一般的な詐欺です。
5.1 一般的な詐欺の手口
1. 緊急に助けが必要な友人: 詐欺師は友人や家族を装い、緊急に資金を要求します。必ず本人確認を行ってください。
2. フィッシング Web サイト:本物の Web サイトを模倣し、ログイン情報を盗む偽の Web サイト。 URL を確認し、不明なソースからのリンクをクリックしないようにしてください。
3. 投資詐欺: これらの詐欺は暗号通貨の分野では非常に一般的であり、証拠なしで高い収益を約束します。もっと詳しく調べて、うますぎると思われる場合は、おそらく詐欺です。
4. 偽のアンケート: 個人情報を盗むためのアンケートへの参加に報酬を提供します。未知の調査員に詳細を教えることは避けてください。
5. 偽の求人広告: 魅力的な求人広告では、個人情報の入力、アプリのダウンロード、または料金の支払いを求められます。公式チャンネルを通じて確認してください。
6. 広告詐欺: 偽の広告は、情報を盗むために偽の Telegram ボットに誘導します。
7. ポンプとダンプ: グループが利益を上げるために暗号通貨の価格を操作し、他のグループに損失を与えます。投資に関する推奨事項を常に調査し、検証してください。
8. ロマンス詐欺: 詐欺師が金銭や個人情報を要求するオンライン関係。オンラインで知り合った人からの金銭の要求には注意してください。
5.2 Toncoin ピラミッド詐欺に注意してください
Telegram の TON ブロックチェーンのサポートは、残念なことに、何も疑っていないユーザーを利用しようとする詐欺師を引き寄せてしまいました。詐欺の詳細な分析は次のとおりです。
1. セットアップ: 詐欺師は、友人や連絡先から来たように見える「独占的な金儲けスキーム」へのリンクを送信します。彼らはユーザーを非公式の Telegram ボットに参加するよう誘導し、暗号通貨の保管に使用されていると偽りました。
2. 投資: ユーザーは、ウォレット、P2P 市場、暗号通貨取引所などの合法的なルートを通じて Toncoin を購入するように指示されます。これにより、誤った信頼性が追加されます。購入したら、ユーザーは自分の Toncoin を詐欺ボットに送金する必要があります。
3. アクセラレータ: 被害者は、別のボットを通じて「アクセラレータ」を購入することを強制されます。価格は 5 ~ 500 トンコインです。この段階で、ユーザーは暗号通貨を失います。
4. 募集: 詐欺師は、ユーザーにプライベート Telegram グループを作成して友人を招待することを要求する紹介プログラムを宣伝します。彼らは、紹介ごとに 25 トンの固定支払いと、紹介によって購入された加速器に基づいた手数料を受け取ることを約束します。
実際、これは典型的なねずみ講です。詐欺師は利益を上げますが、他の詐欺師は投資資金を失います。
5.3 オンライン詐欺を回避する方法
オンライン詐欺から身を守り、Telegram アカウントを安全に保つには、次の基本手順に従ってください。
1. Telegram の 2 段階認証を有効にします。「設定 > プライバシーとセキュリティ > 2 段階認証」に移動して、アカウントに追加のセキュリティを追加します。
2. 連絡先を確認する:一方的なメッセージ、特に個人情報や資金を要求するメッセージには注意してください。他の手段で送信者の身元を確認します。
3. Telegram アカウントのアクティビティを定期的に確認します。「設定 > デバイス > アクティブなセッション」に移動し、アカウント内に不明なデバイスまたはセッションが存在するかどうかを確認します。
4. 不審なアクティビティを報告する: 詐欺に遭遇した場合は、Telegram に報告してください。
5. 一攫千金を狙うスキームを避ける: たとえ被害者になる可能性のある友人や家族から勧められたとしても、これらのスキームには注意してください。
6. 暗号通貨を不明なウォレットに転送しないでください。詐欺に遭わないように、暗号通貨を転送する前に必ず受信者の身元を確認してください。
TON と Telegram で安全を保つには、警戒と認識が必要です。一般的な詐欺師を特定し、これらのセキュリティに関するヒントに従うことで、資産と個人情報を保護できます。常にソースを確認し、真実とは思えないほど良いオファーには疑いを持ち、正式なルートを通じてのみ取引を行ってください。常に情報を入手し、注意を払うことで、詐欺の被害に遭わずに TON と Telegram の利点を享受できます。
6. まとめ
TON を選択した理由は、Telegram 独自のエコシステムを認識するためです。 Web3 プロジェクトを TON に展開すると、月間アクティブ ユーザー数が 7 億人を超える Telegram の巨大なユーザー ベースを活用できます。この統合により、分散型アプリケーションが繁栄するための肥沃な環境が提供されます。 TonBit は、TON エコシステムに包括的なセキュリティ保証を提供し、プロジェクトがより高いセキュリティ基準とユーザーの信頼を達成できるよう支援することに取り組んでいます。 TonBit は TON エコシステムのセキュリティの守護者として、今後も懸命に取り組み、ブロックチェーン技術の発展に貢献していきます。
レポート全体のリンク: https://tonbit.xyz/reports-page
IOS
Android