1. คำนำ

รายงานนี้จัดทำขึ้นร่วมกันโดย TonBit ซึ่งเป็นแบรนด์ย่อยของ BitsLab ซึ่งเป็นบริษัทตรวจสอบความปลอดภัยบล็อกเชน Web3 และพันธมิตร TONX ในขณะที่เทคโนโลยีบล็อกเชนยังคงพัฒนาและมีการใช้กันอย่างแพร่หลายมากขึ้น ระบบนิเวศของ TON จะยังคงแสดงโมเมนตัมการเติบโตที่แข็งแกร่งในปี 2567 โดยดึงดูดความสนใจของนักพัฒนา นักลงทุน และผู้ใช้จำนวนมาก

ในปี 2024 ระบบนิเวศของ TON จะยังคงสร้างความก้าวหน้าที่สำคัญในด้านนวัตกรรมทางเทคโนโลยี การใช้งานแอปพลิเคชัน และการสร้างชุมชน ซึ่งจะทำให้จุดยืนของตนในด้านบล็อกเชนแข็งแกร่งยิ่งขึ้น อย่างไรก็ตาม ด้วยการพัฒนาอย่างรวดเร็วของระบบนิเวศ ปัญหาด้านความปลอดภัยจึงมีความโดดเด่นมากขึ้น เมื่อเผชิญกับภัยคุกคามด้านความปลอดภัยที่เปลี่ยนแปลงไป วิธีการป้องกันและตอบสนองอย่างมีประสิทธิภาพจึงกลายเป็นประเด็นสำคัญในระบบนิเวศ TON

2. ภาพรวมของระบบนิเวศ TON

2.1 ข้อมูลเบื้องต้นเกี่ยวกับระบบนิเวศ TON

บทนำและโครงสร้างเบื้องต้น

TON (The Open Network) เป็นโปรโตคอลการสื่อสารบล็อกเชนและดิจิทัลที่สร้างขึ้นโดย Telegram โดยมีเป้าหมายเพื่อสร้างแพลตฟอร์มบล็อกเชนที่รวดเร็ว ปลอดภัย และปรับขนาดได้ เพื่อให้ผู้ใช้มีแอปพลิเคชันและบริการแบบกระจายอำนาจ ด้วยการรวมเทคโนโลยีบล็อกเชนเข้ากับความสามารถในการสื่อสารของ Telegram TON จึงได้รับประสิทธิภาพสูง ความปลอดภัยสูง และความสามารถในการปรับขนาดสูง สนับสนุนนักพัฒนาในการสร้างแอปพลิเคชันแบบกระจายอำนาจต่างๆ และมอบโซลูชันการจัดเก็บข้อมูลแบบกระจาย เมื่อเปรียบเทียบกับแพลตฟอร์มบล็อกเชนแบบดั้งเดิม TON มีความเร็วการประมวลผลและปริมาณงานที่เร็วกว่า และใช้กลไกฉันทามติ Proof-of-Stake

2.2 ทำไมต้องเลือก TON

TON นำเสนอข้อได้เปรียบที่ไม่เหมือนใครเมื่อแข่งขันกับสภาพคล่องที่แข็งแกร่งและชุมชนของ Bitcoin และ Ethereum ไตรเล็มม่าบล็อกเชนที่เสนอโดย Vitalik Buterin อธิบายถึงความท้าทายที่เครือข่ายเลเยอร์ 1 ต้องเผชิญในการสร้างสมดุลระหว่างความปลอดภัย ความสามารถในการขยายขนาด และประสิทธิภาพ Bitcoin และ Ethereum ต่างมีข้อดีและข้อเสียของตัวเอง แต่ TON เอาชนะความท้าทายเหล่านี้มากมายด้วยสถาปัตยกรรม PoS ที่ยืดหยุ่นและสามารถแบ่งส่วนได้

2.2.1 สถาปัตยกรรม PoS ที่ยืดหยุ่นและแบ่งส่วนได้

TON ใช้กลไกฉันทามติแบบ Proof-of-Stake และบรรลุประสิทธิภาพและความคล่องตัวสูงผ่านสัญญาอัจฉริยะทัวริงที่สมบูรณ์และบล็อกเชนแบบอะซิงโครนัส ธุรกรรมที่รวดเร็วและต้นทุนต่ำของ TON ขับเคลื่อนโดยสถาปัตยกรรมที่ยืดหยุ่นและแบ่งส่วนได้ของห่วงโซ่ สถาปัตยกรรมนี้ช่วยให้สามารถปรับขนาดได้อย่างง่ายดายโดยไม่สูญเสียประสิทธิภาพ การแบ่งส่วนแบบไดนามิกเกี่ยวข้องกับการพัฒนาเริ่มต้นของส่วนย่อยที่แยกจากกันโดยมีวัตถุประสงค์ของตัวเอง ซึ่งสามารถทำงานพร้อมกันและป้องกันงานค้างจำนวนมาก TON มีเวลาบล็อก 5 วินาทีและเวลาสรุปน้อยกว่า 6 วินาที

โครงสร้างพื้นฐานที่มีอยู่แบ่งออกเป็นสองส่วนหลัก:

● Masterchain: รับผิดชอบในการประมวลผลข้อมูลที่สำคัญและสำคัญทั้งหมดของโปรโตคอล รวมถึงที่อยู่ของผู้ตรวจสอบและจำนวนเหรียญที่ตรวจสอบแล้ว

● เวิร์กเชน: เชนรองที่เชื่อมต่อกับเชนหลัก ซึ่งมีข้อมูลธุรกรรมทั้งหมดและสัญญาอัจฉริยะต่างๆ แต่ละเวิร์กเชนสามารถมีกฎที่แตกต่างกันได้

2.2.2 กรณีการใช้งานและสิทธิประโยชน์เพิ่มเติม

TON Foundation เป็น DAO ที่ดำเนินการโดยชุมชนหลักของ TON และให้การสนับสนุนต่างๆ แก่โครงการต่างๆ ในระบบนิเวศ TON รวมถึงการสนับสนุนนักพัฒนาและโปรแกรมจูงใจด้านสภาพคล่อง ในปี 2024 ชุมชน TON มีความก้าวหน้าอย่างมากในหลายด้าน:

● การเปิดตัว TON Connect 2.0: มอบวิธีที่ใช้งานง่ายในการเชื่อมต่อกระเป๋าเงินและแอปพลิเคชัน ปรับปรุงประสบการณ์ผู้ใช้

● TON Verifier: เครื่องมือตรวจสอบสัญญาอัจฉริยะที่สร้างโดยทีมงาน Orbs ซึ่งปรับปรุงความน่าเชื่อถือของสัญญา

● เครื่องมือพัฒนาพิมพ์เขียว: ช่วยให้นักพัฒนาเขียน ทดสอบ และปรับใช้สัญญาอัจฉริยะ

● ชุดนักพัฒนา Sandbox: สำหรับกรณีการใช้งานตั้งแต่ระดับองค์กรไปจนถึงภาครัฐ

● เวอร์ชันภาษา Tact เวอร์ชันเบต้า: ส่งเสริมสภาพแวดล้อมการเขียนโปรแกรมที่มีประสิทธิภาพยิ่งขึ้น

● การทำให้ TON Society เป็นสากล: มีการเปิดตัวศูนย์นานาชาติในหลายเมืองทั่วโลก

● แผนสิ่งจูงใจด้านสภาพคล่อง DeFi: จัดหาเงินทุนสำหรับโครงการเพื่อส่งเสริมความยั่งยืนในด้าน TON DeFi

2.3 ภาพรวมทิศทางและเป้าหมายการพัฒนา TON ในปี 2567

แผนงานการพัฒนาของ TON ประกอบด้วยแผนงานที่น่าสนใจมากมาย เช่น ชุดเครื่องมือเหรียญเสถียร เครื่องมือแบ่งส่วน และการเชื่อมโยง BTC, ETH และ BNB

● ธุรกรรมปลอดค่าธรรมเนียมแก๊ส: TON อาจอุดหนุนค่าธรรมเนียมแก๊สในบางกรณีเพื่อดึงดูดผู้ใช้มากขึ้น

● การแยกโหนดการตรวจสอบและโหนดบรรจุภัณฑ์: นี่เป็นการอัปเกรดครั้งใหญ่ในความสามารถในการปรับขนาดของ TON โดยมีแผนจะดึงดูดผู้ใช้ Telegram 500 ล้านคนภายในปี 2571

● การอัปเดตสัญญาผู้มีสิทธิเลือกตั้งและการกำหนดค่า: อนุญาตให้ผู้ใช้ลงคะแนนข้อเสนอเครือข่าย

● ชุดเครื่องมือ TON Stablecoin: ช่วยให้ทุกคนสามารถออกเหรียญ Stablecoin แบบอัลกอริทึมที่ผูกกับสกุลเงินคำสั่งท้องถิ่นได้

● Jetton Bridge: อนุญาตให้ผู้ใช้ส่งโทเค็น TON ไปยังเครือข่ายอื่น

● ETH, BNB และ BTC Bridge: เปิดตัวสะพานอย่างเป็นทางการเพื่อแนะนำ cryptocurrencies ที่สำคัญให้กับ TON

● โทเค็นที่ไม่ใช่เจ้าของภาษา: อนุญาตให้ผู้ใช้ TON สร้างโทเค็นที่มีลักษณะเหมือนเจ้าของภาษา

3. การพัฒนาระบบนิเวศ

3.1 ภาพรวมทางนิเวศวิทยา

เว็บไซต์อย่างเป็นทางการของ TON Foundation แสดงแอปพลิเคชันเกือบ 1,000 รายการที่ครอบคลุมหลากหลายสาขา เช่น การเงินแบบกระจายอำนาจ (DeFi) เกม โซเชียลมีเดีย และแอปพลิเคชันเครื่องมือ โครงการเหล่านี้ TON Foundation แสดงให้เห็นถึงความเป็นผู้นำในด้านเทคโนโลยีบล็อกเชน และขับเคลื่อนนวัตกรรมและการพัฒนาระบบนิเวศ

3.2 ตัวชี้วัดสำคัญของระบบนิเวศ TON

ณ วันที่ 27 กรกฎาคม 2024 จำนวนโหนดการตรวจสอบบนห่วงโซ่ TON คือ 383 และจำนวนรวมของ $TON ที่ให้คำมั่นไว้มากกว่า 590 ล้าน ซึ่งกระจายอยู่ใน 29 ประเทศ จำนวนที่อยู่ที่ใช้งานรายวันอยู่ที่ 373,000 แห่ง เพิ่มขึ้น 5360% เมื่อเทียบเป็นรายปี ระบบนิเวศ DeFi ของเครือข่าย TON แสดงให้เห็นถึงโมเมนตัมการพัฒนาที่แข็งแกร่ง โดยมีจำนวนผู้ใช้งานอิสระสูงถึง 1,784,089 ราย ปริมาณการล็อคอัพรวม (TVL) อยู่ที่ 706,307,873 ดอลลาร์สหรัฐ และจำนวนผู้ให้บริการสภาพคล่องอยู่ที่ 26,297 ราย

3.3 TON จะกลายเป็นแพลตฟอร์มเกมที่มีการกระจายอำนาจที่ทรงพลังได้อย่างไร

3.3.1 เหตุผลหลักในการสร้างเกมแบบกระจายอำนาจตาม TON

การพัฒนาเกมแบบกระจายอำนาจโดยใช้ TON blockchain ช่วยให้องค์กรและนักพัฒนามีข้อได้เปรียบหลายประการ:

● บูรณาการกับ Telegram: ให้การเข้าถึงผู้ใช้งานมากกว่า 900 ล้านรายต่อเดือน

● เครื่องมือดึงดูดและรักษาผู้ใช้ที่มีประสิทธิภาพ: รวมถึงศูนย์แอปพลิเคชัน Telegram และเครื่องมือการโฆษณา

● บล็อกเชนที่รวดเร็วและมีประสิทธิภาพ: ประมวลผลธุรกรรมมากกว่า 100,000 รายการต่อวินาที โดยมีค่าธรรมเนียมต่ำ

● โอกาสในการสร้างรายได้ที่หลากหลาย เช่น การโฆษณาในแอปและโทเค็นที่ไม่สามารถแลกเปลี่ยนได้

● เรียบง่ายและเข้าถึงได้: มีชุดเครื่องมือครบชุดสำหรับนักพัฒนาและผู้เล่น GameFi Web3

4. การวิจัยความปลอดภัยทางนิเวศวิทยาของ TON

4.1 จะพัฒนาความปลอดภัยบน TON ได้อย่างไร

เพื่อให้มั่นใจในความปลอดภัยของสัญญาอัจฉริยะ เราจำเป็นต้องใช้มาตรการรักษาความปลอดภัยหลายชุด ต่อไปนี้เป็นแนวทางปฏิบัติด้านความปลอดภัยที่สำคัญในระบบนิเวศ TON:

1. การควบคุมการเข้าถึง

คำอธิบาย: เมื่อมีตรรกะที่สำคัญหรือการดำเนินการที่ละเอียดอ่อนในสัญญาที่กำหนดให้ผู้ใช้ที่ได้รับอนุญาตเฉพาะดำเนินการ เราควรใช้การควบคุมการเข้าถึงเพื่อป้องกันไม่ให้ผู้โจมตีดำเนินการที่ละเอียดอ่อน ซึ่งทำให้เกิดความเสียหายร้ายแรง

ฝึกฝน:

➤ พิจารณาว่าการดำเนินการใดจำเป็นต้องมีการควบคุมการอนุญาต

➤ จำกัดการเข้าถึงการดำเนินการที่ต้องได้รับอนุญาตโดยการตรวจสอบผู้ส่งข้อความ

➤ ทบทวนและปรับปรุงนโยบายการควบคุมการเข้าถึงอย่างสม่ำเสมอเพื่อปรับให้เข้ากับการเปลี่ยนแปลงข้อกำหนดของสัญญา

สำหรับข้อเสนอเฉพาะ โปรดดูที่:

https://github.com/ton-blockchain/TEPs/pull/180

https://github.com/ton-blockchain/TEPs/pull/181

2. ตรวจสอบการป้อนข้อความ

คำอธิบาย: การขาดการตรวจสอบที่เหมาะสมหรือการกรองอินพุตภายนอกในสัญญาอัจฉริยะอาจทำให้ผู้ใช้ที่เป็นอันตรายหรือผู้โจมตีป้อนข้อมูลที่เป็นอันตราย ซึ่งอาจนำไปสู่พฤติกรรมที่ไม่ปลอดภัยหรือช่องโหว่

ฝึกฝน:

➤ ดำเนินการตรวจสอบและการกรองอินพุตภายนอกทั้งหมดอย่างเข้มงวด รวมถึงการตรวจสอบประเภทข้อมูล การตรวจสอบเงื่อนไขขอบเขต และฆ่าเชื้ออินพุตของผู้ใช้

➤ พิจารณาสถานการณ์อินพุตที่เป็นไปได้ทั้งหมด รวมถึงกรณีขอบและอินพุตที่ไม่คาดคิด

➤ ตรวจสอบและทดสอบตรรกะการตรวจสอบความถูกต้องของอินพุตอย่างสม่ำเสมอ

3. ตรวจสอบการใช้แก๊ส

คำอธิบาย: เมื่อประมวลผลข้อความภายใน ผู้ส่งมักจะต้องชำระค่าธรรมเนียมการใช้แก๊ส เมื่อประมวลผลข้อความภายนอก สัญญาจะชำระค่าบริการก๊าซ ซึ่งหมายความว่าคุณต้องระมัดระวังการใช้แก๊สในข้อความภายนอก การใช้ก๊าซของสัญญาควรได้รับการทดสอบเสมอเพื่อตรวจสอบว่าทุกอย่างทำงานได้ตามที่คาดไว้ และเพื่อหลีกเลี่ยงข้อบกพร่องที่อาจทำให้ยอดคงเหลือของสัญญาลดลง

ฝึกฝน:

➤ ตรวจสอบและเพิ่มประสิทธิภาพการใช้ก๊าซในระหว่างการพัฒนา

➤ ใช้ขีดจำกัดของก๊าซเพื่อป้องกันการดำเนินงานที่มีราคาแพง

➤ ทดสอบปริมาณการใช้ก๊าซของสัญญาอย่างสม่ำเสมอภายใต้สถานการณ์ที่แตกต่างกัน

4. การพึ่งพาการประทับเวลา

คำอธิบาย: ลักษณะการทำงานของสัญญาอัจฉริยะบางตัวขึ้นอยู่กับการประทับเวลาแบบบล็อก และการประทับเวลาแบบบล็อกอาจถูกจัดการโดยผู้ตรวจสอบความถูกต้อง ตัวอย่างเช่น การตรวจสอบความถูกต้องของโหนดสามารถเลือกรวมหรือยกเว้นธุรกรรมบางอย่าง หรือปรับการประทับเวลาเพื่อรองรับวัตถุประสงค์บางอย่าง ลักษณะการทำงานนี้อาจทำให้ตรรกะของสัญญาถูกจัดการและก่อให้เกิดความเสี่ยงด้านความปลอดภัย

ฝึกฝน:

➤ หลีกเลี่ยงการพึ่งพาการประทับเวลาแบบบล็อกโดยตรงเพื่อตัดสินเชิงตรรกะที่สำคัญ

➤ หากต้องใช้การประทับเวลา ตรวจสอบให้แน่ใจว่าใช้วิธีการที่เชื่อถือได้และควบคุมไม่ได้มากขึ้น

➤ ใช้กลไกบัฟเฟอร์เวลาเพื่อให้เวลาในการเปลี่ยนแปลงภายในช่วงที่กำหนด และลดการพึ่งพาจุดเดียวในเวลา

➤ ตรวจสอบตรรกะของสัญญาเป็นประจำเพื่อให้แน่ใจว่าไม่ได้รับผลกระทบจากการจัดการการประทับเวลา

5. จำนวนเต็มล้น

คำอธิบาย: จำนวนเต็มล้นและอันเดอร์โฟลว์เป็นการดำเนินการค่าเลขชี้กำลังที่เกินช่วงที่แสดงโดยตัวแปร ส่งผลให้ผลการคำนวณไม่ถูกต้อง จำนวนเต็มล้นมักเกิดขึ้นระหว่างการดำเนินการ เช่น การบวก การลบ และการคูณ หากปล่อยทิ้งไว้โดยไม่เลือก อาจนำไปสู่ปัญหาด้านความปลอดภัยร้ายแรง เช่น การคำนวณยอดคงเหลือไม่ถูกต้อง หรือการโอนเงินที่ไม่คาดคิด

ฝึกฝน:

➤ ใช้ไลบรารีคณิตศาสตร์ที่ปลอดภัยเพื่อจัดการการดำเนินการจำนวนเต็ม

➤ เพิ่มการตรวจสอบโอเวอร์โฟลว์ก่อนและหลังการดำเนินการทางคณิตศาสตร์ทั้งหมด

➤ ตรวจสอบรหัสสัญญาเป็นประจำเพื่อให้แน่ใจว่าการดำเนินการจำนวนเต็มทั้งหมดได้รับการคุ้มครอง

6. ข้อผิดพลาดในการปัดเศษ

คำอธิบาย: ความเสี่ยงจากข้อผิดพลาดในการปัดเศษหมายถึงข้อผิดพลาดในผลการคำนวณเนื่องจากข้อจำกัดด้านความแม่นยำหรือวิธีการปัดเศษที่ไม่เหมาะสมในการดำเนินการเชิงตัวเลข โดยเฉพาะอย่างยิ่งเมื่อต้องจัดการกับสกุลเงินหรือค่าตัวเลขที่มีความแม่นยำสูง ข้อผิดพลาดในการปัดเศษอาจส่งผลให้สูญเสียเงินทุนหรือการกระจายที่ไม่ยุติธรรม

ฝึกฝน:

➤ ใช้ไลบรารีตัวเลขที่มีความแม่นยำสูงหรือไลบรารีตัวเลขจุดคงที่เพื่อจัดการการดำเนินงานทางการเงิน

ทดสอบและตรวจสอบตรรกะการดำเนินการเชิงตัวเลขเป็นประจำเพื่อให้แน่ใจว่าความถูกต้องตรงตามความคาดหวัง

➤ ทำเครื่องหมายวิธีการปัดเศษอย่างชัดเจนในโค้ดเพื่อให้แน่ใจว่ามีความสอดคล้องกัน

7. การปฏิเสธการให้บริการ

คำอธิบาย: ความเสี่ยงในการปฏิเสธการบริการหมายถึงการใช้ทรัพยากรการประมวลผลของสัญญาอัจฉริยะหรือทำให้เกิดเงื่อนไขข้อผิดพลาด ส่งผลให้สัญญาล้มเหลวในการดำเนินการตามปกติหรือตกอยู่ในการดำเนินการที่ไม่มีที่สิ้นสุด ซึ่งอาจป้องกันไม่ให้ผู้ใช้ที่ถูกต้องตามกฎหมายโต้ตอบกับสัญญา หรือแม้แต่ป้องกันการอัปเดตสถานะสัญญา

ฝึกฝน:

➤ จำกัดจำนวนการวนซ้ำหรือความลึกของการเรียกซ้ำเพื่อหลีกเลี่ยงการดำเนินการที่ใช้เวลานาน

➤ ตรวจสอบก๊าซที่เหลืออยู่ก่อนดำเนินการหลัก เพื่อหลีกเลี่ยงความล้มเหลวในการทำธุรกรรมเนื่องจากก๊าซไม่เพียงพอ

➤ ทบทวนและเพิ่มประสิทธิภาพตรรกะของสัญญาอย่างสม่ำเสมอเพื่อให้มั่นใจถึงประสิทธิภาพและความน่าเชื่อถือ

➤ ใช้บันทึกเหตุการณ์เพื่อบันทึกการดำเนินการที่สำคัญเพื่ออำนวยความสะดวกในการแก้ไขปัญหาและการกู้คืน

8. ตรรกะทางธุรกิจ

คำอธิบาย: ช่องโหว่ของตรรกะทางธุรกิจหมายถึงข้อบกพร่องด้านการออกแบบหรือข้อผิดพลาดในการใช้งานในสัญญาอัจฉริยะเมื่อนำกระบวนการทางธุรกิจไปใช้ ส่งผลให้สัญญาทำงานผิดปกติภายใต้สถานการณ์บางอย่าง ช่องโหว่เหล่านี้อาจถูกโจมตีโดยผู้ใช้ที่เป็นอันตราย ซึ่งนำไปสู่ผลลัพธ์ร้ายแรง เช่น การสูญเสียเงินทุน การปลอมแปลงข้อมูล หรือความล้มเหลวในการทำงานของสัญญา ช่องโหว่ของตรรกะทางธุรกิจมักจะไม่ใช่ข้อผิดพลาดในการเขียนโค้ด แต่เป็นความเข้าใจผิดหรือการใช้งานข้อกำหนดและกระบวนการทางธุรกิจที่ไม่สมบูรณ์

ฝึกฝน:

ความเข้าใจเชิงลึกและการวิเคราะห์ข้อกำหนดทางธุรกิจเพื่อให้แน่ใจว่าการออกแบบเชิงตรรกะถูกต้อง

➤ ดำเนินการตรวจสอบโค้ดและการตรวจสอบตรรกะเป็นประจำเพื่อค้นหาและแก้ไขช่องโหว่ในเวลาที่เหมาะสม

Ø เขียนกรณีทดสอบที่ครอบคลุมเพื่อให้ครอบคลุมสถานการณ์ทางธุรกิจที่เป็นไปได้ทั้งหมด

ด้วยแนวทางปฏิบัติด้านความปลอดภัยข้างต้น เราสามารถปรับปรุงความปลอดภัยของสัญญาอัจฉริยะได้อย่างมาก ลดความเสี่ยง และรับประกันการดำเนินงานที่มั่นคงของสัญญาและความปลอดภัยของเงินทุนของผู้ใช้

4.2 การทบทวนเหตุการณ์ความมั่นคงทางนิเวศน์ของ TON

ในปี 2024 เหตุการณ์ด้านความปลอดภัยหลายครั้งเกิดขึ้นในระบบนิเวศ TON ซึ่งเผยให้เห็นถึงความท้าทายด้านความปลอดภัย ต่อไปนี้เป็นคำอธิบายโดยละเอียดของเหตุการณ์สำคัญ การวิเคราะห์สาเหตุ ผลกระทบ และแนวทางแก้ไขของเหตุการณ์ และรายการช่องโหว่ด้านความปลอดภัยทั่วไปบางประการ

1. สัญญาจำนำของโปรโตคอลบางตัวถูกโจมตี ส่งผลให้โทเค็นสูญเสียจำนวนมาก

เวลา: 22 พฤษภาคม 2024

จำนวนขาดทุน: /

สาเหตุหลัก: ข้อผิดพลาดในการกำหนดค่าพารามิเตอร์

อธิบาย:

หลังจากเหตุการณ์การปักหลักเพื่อเฉลิมฉลองความเจริญรุ่งเรืองของระบบนิเวศ TON สัญญาการปักหลักของโปรโตคอลบางตัวถูกแฮ็กเนื่องจากการกำหนดค่าพารามิเตอร์โปรโตคอลไม่ถูกต้อง ส่งผลให้มีการขโมยโทเค็นจำนวนมากในสัญญา หลังจากเหตุการณ์ดังกล่าว ทีมงานโครงการได้ระงับฟังก์ชั่นการรวบรวมรางวัลจากการปักหลักทันที และจัดสรรเงินจำนวน $USDT จำนวนมากเพื่อซื้อโทเค็น 307,264 อันที่หายไปคืน

หลังจากการโจมตี โปรเจ็กต์ได้ติดต่อ TonBit อย่างรวดเร็วเพื่อตรวจสอบ TonBit แสดงให้เห็นถึงความเป็นมืออาชีพด้วยการตอบสนองอย่างรวดเร็วและระดมทีมผู้เชี่ยวชาญด้านความปลอดภัยเพื่อดำเนินการตรวจสอบความปลอดภัยที่ครอบคลุมและละเอียดสำหรับโค้ดหลักของโครงการ ผู้เชี่ยวชาญด้านความปลอดภัยของ TonBit ค้นพบ 6 ปัญหาที่มีความเสี่ยงต่ำ และสื่อสารกับทีมงานโปรเจ็กต์โดยละเอียดทันที ด้วยประสบการณ์อันยาวนานและความสามารถด้านเทคนิคระดับมืออาชีพ TonBit ไม่เพียงแต่ให้บริการโซลูชั่นเฉพาะสำหรับปัญหาเท่านั้น แต่ยังช่วยให้ทีมงานซ่อมแซมปัญหาทั้งหมดให้เสร็จสิ้นได้อย่างรวดเร็ว เพื่อให้มั่นใจในความปลอดภัยและเสถียรภาพของสัญญา

ปัญหาที่เกี่ยวข้องกับการกำหนดค่าที่ค้นพบโดยการตรวจสอบ TonBit:

วิธีแก้ไข: แก้ไขการกำหนดค่าพารามิเตอร์

2. แฮกเกอร์ใช้กระเป๋าเงินเพื่อแสดงข้อมูลความคิดเห็นที่ควบคุมได้เพื่อทำให้ผู้ใช้เข้าใจผิด

เวลา: 10 พฤษภาคม 2024

จำนวนการสูญเสีย: 22, 000 ตัน

สาเหตุหลัก: ข้อมูลความคิดเห็นที่แสดงโดยกระเป๋าเงินเมื่อทำธุรกรรมอาจทำให้ผู้ใช้เข้าใจผิด

อธิบาย:

แม้ว่าสามารถเพิ่มความคิดเห็นได้เมื่อประมวลผลข้อความถ่ายโอนใน Ton แต่การออกแบบ UI ของกระเป๋าเงินบางส่วนเมื่อแสดงความคิดเห็นเหล่านี้อาจทำให้เข้าใจผิดได้ ข้อบกพร่องด้านการออกแบบนี้ถูกแฮกเกอร์ใช้ประโยชน์ โดยการปรับเปลี่ยนเนื้อหาคำอธิบายประกอบของข้อความถ่ายโอน แฮกเกอร์สามารถแสดงข้อมูลเท็จแก่ผู้ใช้ในระหว่างกระบวนการทำธุรกรรม ซึ่งก่อให้เกิดการฉ้อโกง ทำให้ผู้ใช้ดำเนินการในทางที่ผิดและก่อให้เกิดความสูญเสียทางการเงิน

สารละลาย:

เพื่อแก้ไขปัญหานี้ แอปพลิเคชันกระเป๋าเงินจำเป็นต้องเพิ่มคำอธิบายประกอบที่สะดุดตาเมื่อแสดงข้อมูลนี้ เพื่อเตือนผู้ใช้ว่าเนื้อหานั้นไม่น่าเชื่อถือ นอกจากนี้ ทีมพัฒนากระเป๋าเงินควรปรับปรุงการออกแบบ UI เพื่อให้มั่นใจถึงความโปร่งใสและความน่าเชื่อถือของการแสดงข้อมูลธุรกรรม ในขณะเดียวกัน ผู้ใช้ยังต้องปรับปรุงความสามารถในการระบุและแจ้งเตือนข้อมูลธุรกรรมที่น่าสงสัยอีกด้วย

มาตรการเพิ่มเติม:

TonBit แนะนำให้ทีมพัฒนากระเป๋าเงินแนะนำกลไกการตรวจสอบแบบหลายชั้นเมื่อแสดงข้อมูลคำอธิบายประกอบธุรกรรม เช่น การตรวจสอบแหล่งที่มาของข้อมูลคำอธิบายประกอบ เพื่อให้มั่นใจในความน่าเชื่อถือของข้อมูล นอกจากนี้เรายังให้ความรู้แก่ผู้ใช้เป็นประจำและเผยแพร่เคล็ดลับด้านความปลอดภัยเพื่อช่วยให้ผู้ใช้ระบุและป้องกันการฉ้อโกงที่อาจเกิดขึ้น ด้วยการผสมผสานระหว่างวิธีการทางเทคนิคและการให้ความรู้แก่ผู้ใช้ อุบัติการณ์ด้านความปลอดภัยดังกล่าวจึงสามารถลดลงได้อย่างมีประสิทธิภาพ

3.BookPad ใช้สัญญากับประตูหลังเพื่อฉ้อโกงเงินแล้วหนีไปพร้อมกับเงินนั้น

เวลา: 15 เมษายน 2024

จำนวนการสูญเสีย: 74, 424 TON

สาเหตุที่แท้จริง: BookPad ใช้สัญญาลับๆ เพื่อดูดซับเงินทุนของผู้ใช้แล้วจึงหนีไป

อธิบาย:

BookPad เปิดตัวสัญญาอัจฉริยะแบบแบ็คดอร์และไม่ใช่โอเพ่นซอร์ส และเริ่มกิจกรรมก่อนการขาย หลังจากได้รับเงินเพียงพอแล้ว พวกเขาก็ใช้ประตูหลังในสัญญาเพื่อถอนเงิน จากนั้นจึงรีบวิ่งหนีพร้อมกับเงินนั้น

สารละลาย:

เพื่อป้องกันไม่ให้เหตุการณ์ที่คล้ายกันเกิดขึ้นอีก ผู้ใช้ควรรวบรวมข้อมูลเกี่ยวกับฝ่ายต่างๆ ของโครงการให้ได้มากที่สุดก่อนที่จะเข้าร่วมกิจกรรมการลงทุนในโครงการใดๆ และเลือกโครงการที่เป็นโอเพ่นซอร์สและผ่านการตรวจสอบความปลอดภัยที่เข้มงวด

TonBit แนะนำให้ผู้ใช้ให้ความสนใจเป็นพิเศษกับประเด็นต่อไปนี้:

1. โครงการโอเพ่นซอร์ส: ยืนยันว่ารหัสสัญญาอัจฉริยะเป็นโอเพ่นซอร์ส ซึ่งช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยอิสระสามารถตรวจสอบเพื่อให้แน่ใจว่าไม่มีช่องโหว่หรือรหัสที่เป็นอันตรายที่ซ่อนอยู่

2. การตรวจสอบความปลอดภัย: เลือกโครงการที่ได้รับการตรวจสอบโดยหน่วยงานตรวจสอบความปลอดภัยที่มีชื่อเสียง การตรวจสอบความปลอดภัยสามารถค้นพบและแก้ไขช่องโหว่ที่อาจเกิดขึ้นในสัญญา โดยให้การป้องกันเพิ่มเติม

3. การตรวจสอบประวัติของโครงการ: ตรวจสอบความเป็นมาของฝ่ายโครงการ ความน่าเชื่อถือ และบันทึกทางประวัติศาสตร์ของสมาชิกในทีม ฝ่ายโครงการที่มีความโปร่งใสและชื่อเสียงที่ดีจะน่าเชื่อถือมากขึ้น

4. ความคิดเห็นของชุมชน: ให้ความสนใจกับความคิดเห็นของชุมชนเกี่ยวกับโครงการ มีส่วนร่วมในการอภิปราย และทำความเข้าใจกับชื่อเสียงและความเสี่ยงที่อาจเกิดขึ้นของโครงการ

มาตรการเพิ่มเติม:

TonBit แนะนำให้แนะนำกลไกการกำกับดูแลและการตรวจสอบที่เข้มงวดมากขึ้นในระบบนิเวศ TON เพื่อดำเนินการตรวจสอบคุณสมบัติในโครงการใหม่เพื่อให้แน่ใจว่าเป็นไปตามมาตรฐานความปลอดภัย นอกจากนี้ สามารถตั้งค่าฐานรหัสสัญญาสาธารณะได้ และสามารถใช้ได้เฉพาะสัญญาที่ได้รับอนุมัติเท่านั้น สิ่งนี้จะช่วยลดความเสี่ยงที่เงินทุนของผู้ใช้จะถูกขโมยได้อย่างมาก และปรับปรุงความปลอดภัยและความน่าเชื่อถือของระบบนิเวศ TON ทั้งหมด

5 ผู้ใช้สามารถอยู่อย่างปลอดภัยบน TON และ Telegram ได้อย่างไร

ด้วยการพัฒนาอย่างรวดเร็วของระบบนิเวศ TON และ Telegram ซึ่งขณะนี้มีบัญชีที่ใช้งานอยู่มากกว่า 38 ล้านบัญชี ความสนใจที่มาพร้อมกับสิ่งนี้ยังนำมาซึ่งความเสี่ยงที่มากขึ้นอีกด้วย

นักต้มตุ๋นและผู้ไม่ประสงค์ดีมุ่งเป้าไปที่การไหลเข้าของผู้ใช้มือใหม่ และแม้แต่ในระบบนิเวศที่ปลอดภัยที่สุด ก็ยังจำเป็นอย่างยิ่งที่จะต้องระมัดระวังในการทำความเข้าใจความเสี่ยงที่อาจเกิดขึ้น นี่เป็นกลโกงที่พบบ่อยที่สุดที่คุณต้องใส่ใจให้มากขึ้น

5.1 วิธีการฉ้อโกงทั่วไป

1. เพื่อนที่ต้องการความช่วยเหลืออย่างเร่งด่วน: นักต้มตุ๋นแกล้งเป็นเพื่อนหรือสมาชิกในครอบครัวและร้องขอเงินทุนอย่างเร่งด่วน โปรดตรวจสอบยืนยันตัวตนของพวกเขา

2. เว็บไซต์ฟิชชิ่ง: เว็บไซต์ปลอมเลียนแบบเว็บไซต์จริงและขโมยข้อมูลการเข้าสู่ระบบ ตรวจสอบ URL และหลีกเลี่ยงการคลิกลิงก์จากแหล่งที่ไม่รู้จัก

3. การหลอกลวงด้านการลงทุน: การหลอกลวงเหล่านี้พบได้ทั่วไปในพื้นที่สกุลเงินดิจิทัล และสัญญาว่าจะให้ผลตอบแทนสูงโดยไม่ต้องพิสูจน์ ศึกษาให้ลึกกว่านี้ หากฟังดูดีเกินจริง ก็อาจเป็นกลโกง

4. แบบสำรวจปลอม: เสนอรางวัลสำหรับการเข้าร่วมการสำรวจเพื่อขโมยข้อมูลส่วนบุคคล หลีกเลี่ยงการให้รายละเอียดแก่ผู้ตรวจสอบที่ไม่รู้จัก

5. โอกาสในการทำงานปลอม: โฆษณารับสมัครงานที่น่าดึงดูดใจขอข้อมูลส่วนบุคคล ดาวน์โหลดแอป หรือจ่ายค่าธรรมเนียม ตรวจสอบผ่านช่องทางการ

6. การหลอกลวงโฆษณาแยกประเภท: โฆษณาปลอมนำคุณไปยังบอทโทรเลขปลอมเพื่อขโมยข้อมูล

7. Pump and Dump: กลุ่มต่างๆ บิดเบือนราคาสกุลเงินดิจิทัลเพื่อทำกำไร ทำให้ผู้อื่นสูญเสียเงิน ค้นคว้าและตรวจสอบคำแนะนำการลงทุนอยู่เสมอ

8. การหลอกลวงเรื่องโรแมนติก: ความสัมพันธ์ออนไลน์ที่ผู้หลอกลวงขอเงินหรือข้อมูลส่วนบุคคล ระวังการขอเงินจากคนที่คุณพบทางออนไลน์

5.2 ระวังการหลอกลวงพีระมิด Toncoin

การสนับสนุนของ Telegram สำหรับบล็อกเชน TON นั้นน่าเสียดายที่ดึงดูดนักหลอกลวงที่พยายามใช้ประโยชน์จากผู้ใช้ที่ไม่สงสัย นี่คือการวิเคราะห์โดยละเอียดของการหลอกลวง:

1. การตั้งค่า: นักหลอกลวงส่งลิงก์ไปยัง "แผนการทำเงินพิเศษ" ที่ดูเหมือนว่ามาจากเพื่อนหรือผู้ติดต่อ พวกเขาแนะนำให้ผู้ใช้เข้าร่วมบอท Telegram อย่างไม่เป็นทางการ โดยอ้างว่าใช้เพื่อจัดเก็บสกุลเงินดิจิตอล

2. การลงทุน: ผู้ใช้จะได้รับคำสั่งให้ซื้อ Toncoin ผ่านช่องทางทางกฎหมาย เช่น กระเป๋าเงิน ตลาด P2P หรือการแลกเปลี่ยนสกุลเงินดิจิทัล สิ่งนี้จะเพิ่มความน่าเชื่อถือที่ผิดพลาด เมื่อซื้อแล้ว ผู้ใช้จะต้องโอน Toncoin ของตนไปยังบอทหลอกลวง

3. ตัวเร่งความเร็ว: ผู้ที่ตกเป็นเหยื่อจะถูกบังคับให้ซื้อ "ตัวเร่งความเร็ว" ผ่านบอทที่แยกต่างหาก ซึ่งมีราคาระหว่าง 5 ถึง 500 Toncoins ในขั้นตอนนี้ ผู้ใช้จะสูญเสียสกุลเงินดิจิทัลของตน

4. การรับสมัคร: นักหลอกลวงส่งเสริมโปรแกรมการอ้างอิงที่กำหนดให้ผู้ใช้สร้างกลุ่มโทรเลขส่วนตัวและเชิญเพื่อน พวกเขาสัญญาว่าจะได้รับการชำระเงินคงที่ 25 TON สำหรับการอ้างอิงแต่ละครั้งและค่าคอมมิชชันตามตัวเร่งความเร็วที่ซื้อโดยผู้อ้างอิง

อันที่จริง นี่เป็นโครงการปิรามิดทั่วไป นักต้มตุ๋นสร้างรายได้ในขณะที่คนอื่นสูญเสียเงินลงทุน

5.3 วิธีหลีกเลี่ยงการฉ้อโกงทางออนไลน์

เพื่อปกป้องตัวคุณเองจากการหลอกลวงออนไลน์และรักษาบัญชี Telegram ของคุณให้ปลอดภัย ให้ทำตามขั้นตอนพื้นฐานเหล่านี้:

1. เปิดใช้งานการยืนยันสองขั้นตอนของ Telegram: ไปที่ "การตั้งค่า > ความเป็นส่วนตัวและความปลอดภัย > การยืนยันสองขั้นตอน" เพื่อเพิ่มความปลอดภัยเพิ่มเติมให้กับบัญชีของคุณ

2. ตรวจสอบผู้ติดต่อ: ระวังข้อความไม่พึงประสงค์ โดยเฉพาะข้อความที่ขอข้อมูลส่วนบุคคลหรือเงินทุน ยืนยันตัวตนของผู้ส่งด้วยวิธีการอื่น

3. ตรวจสอบกิจกรรมบัญชี Telegram เป็นประจำ: ไปที่ "การตั้งค่า > อุปกรณ์ > เซสชันที่ใช้งานอยู่" และตรวจสอบว่ามีอุปกรณ์หรือเซสชันที่ไม่รู้จักในบัญชีหรือไม่

4. รายงานกิจกรรมที่น่าสงสัย: หากคุณพบกลโกง ให้รายงานไปที่ Telegram

5. หลีกเลี่ยงแผนการรวยเร็ว: ระวังแผนการเหล่านี้ แม้ว่าเพื่อนหรือสมาชิกในครอบครัวที่อาจเป็นเหยื่อจะแนะนำก็ตาม

6. อย่าโอน cryptocurrencies ไปยังกระเป๋าเงินที่ไม่รู้จัก: ตรวจสอบตัวตนของผู้รับทุกครั้งก่อนที่จะโอน cryptocurrencies เพื่อหลีกเลี่ยงการถูกหลอกลวง

การรักษาความปลอดภัยใน TON และ Telegram ต้องใช้ความระมัดระวังและความตระหนักรู้ ด้วยการระบุผู้หลอกลวงทั่วไปและปฏิบัติตามคำแนะนำด้านความปลอดภัยเหล่านี้ คุณสามารถปกป้องทรัพย์สินและข้อมูลส่วนบุคคลของคุณได้ ตรวจสอบแหล่งที่มาเสมอ สงสัยข้อเสนอที่ดูดีเกินจริง และทำธุรกรรมผ่านช่องทางที่เป็นทางการเท่านั้น ด้วยการรับทราบข้อมูลและความระมัดระวัง คุณสามารถเพลิดเพลินกับสิทธิประโยชน์ของ TON และ Telegram โดยไม่ตกเป็นเหยื่อของการฉ้อโกง!

6. สรุป

เหตุผลในการเลือก TON คือเพื่อรับรู้ถึงระบบนิเวศของ Telegram การปรับใช้โปรเจ็กต์ Web3 ของคุณบน TON สามารถใช้ประโยชน์จากฐานผู้ใช้ขนาดใหญ่ของ Telegram โดยมีผู้ใช้งานมากกว่า 700 ล้านรายต่อเดือน การบูรณาการนี้ทำให้เกิดสภาพแวดล้อมที่สมบูรณ์สำหรับแอปพลิเคชันแบบกระจายอำนาจที่จะเจริญรุ่งเรือง TonBit มุ่งมั่นที่จะให้การรับประกันความปลอดภัยที่ครอบคลุมสำหรับระบบนิเวศ TON และช่วยให้โครงการบรรลุมาตรฐานความปลอดภัยที่สูงขึ้นและความไว้วางใจของผู้ใช้ ในฐานะผู้พิทักษ์ความปลอดภัยของระบบนิเวศ TON TonBit จะยังคงทำงานอย่างหนักและมีส่วนร่วมในการพัฒนาเทคโนโลยีบล็อกเชนต่อไป

ลิงค์รายงานฉบับเต็ม: https://tonbit.xyz/reports-page