زبان Tact در بلاک‌چین TON دارای خطرات امنیتی است – گزارش CertiK

یک گزارش امنیتی جدید نگرانی‌هایی درباره شبکه بلاک‌چین «اوپن تلگرام» (TON)، یک پلتفرم بلاک‌چین شناخته شده برای رویکرد کاربرپسند خود به قراردادهای هوشمند، ایجاد کرده است.گزارش انجام شده توسط شرکت امنیتی وب3 «سرتیک»، بر آسیب‌پذیری‌های احتمالی در «تکت»، زبان برنامه‌نویسی طراحی شده برای TON، تاکید دارد. در حالی که تکت هدف دارد توسعه را ساده کرده و امنیت را افزایش دهد، گزارش نشان می‌دهد که برخی رویکردهای برنامه‌نویسی ممکن است ناخواسته قراردادهای هوشمند را به خطر اندازد.سرتیک تکت را با زبان قبلی «فانک» مقایسه کرده و اشتباهات رایجی که توسعه‌دهندگان هنگام استفاده از زبان مرتکب می‌شوند شناسایی کرده است. این اشتباهات می‌توانند منجر به شکست تراکنش‌ها، از دست دادن وجوه و خلاء‌های امنیتی قابل بهره‌برداری شوند. یکی از نگرانی‌های کلیدی که در گزارش به آن پرداخته شده، قالب آدرس سخت‌گیرانه تکت است. ناسازگاری این قالب با استانداردهای موجود، مانند TEP-74، ممکن است باعث تراکنش‌های ناکام یا از دست رفتن توکن‌ها شود، مشابه با ارسال نامه به آدرس اشتباه.سرتیک همچنین چالش‌های مدیریت عملیات‌های همزمان را گزارش داده است. در حالی که بلاک‌چین TON از آسیب‌پذیری‌های مانند بازگشت مکرر که در اتریوم شایع است، جلوگیری می‌کند، ترتیب تراکنش‌های غیرقابل پیش‌بینی می‌تواند به مهاجمان اجازه دهد تفاوت‌های زمانی را بهره‌بری کنند و آسیب‌پذیری‌های مشابه با حملات «مرد میانی دست‌یابی» ایجاد کنند.یکی دیگر از زمینه‌های نگرانی سریال‌سازی داده‌ها است. سرتیک یادآوری کرده که توسعه‌دهندگان باید به‌طور صریح داده‌ها را در قراردادهای هوشمند منظم کنند. عدم انجام این کار ممکن است به تفاسیر نادرست و رفتار غیرقابل پیش‌بینی برنامه منجر شود.گزارش همچنین به اشتباهات بالقوه در مدیریت اعداد توسط Tact اشاره کرده که در صورت نبود دقت می‌تواند به خطاهای عملکردی منجر شود. علاوه بر این، سرتیک اهمیت مدیریت «گاز»، هزینه لازم برای اجرای تراکنش‌های بلاک‌چین را بیشتر تأکید کرد. برآورد و کنترل نادرست مصرف گاز توسط توسعه‌دهندگان می‌تواند باعث شکست تراکنش‌ها در میانه راه یا حتی کانالیزه کردن بودجه از یک قرارداد شود.چالش‌های امنیتی عمده در اکوسیستم گسترده‌تر کریپتو همچنان ادامه دارد. طبق گزارشی از Immunefi، تقریباً ۱.۵ میلیارد دلار در وقایع مرتبط با کریپتو در سال ۲۰۲۴ به سرقت رفته است، علی‌رغم کاهشی ۱۵ درصدی نسبت به سرمایه‌های سرقت شده نسبت به سال گذشته.نوامبر به تنهایی شاهد ناپدید شدن بیش از 71 میلیون دلار در دارایی‌های دیجیتال بوده است، که مجموع از اول سال جاری را به بیش از 1.48 میلیارد دلار در طی ۲۰۹ حادثه رسانده است.یکی از وقایع قابل توجه در ماه نوامبر مربوط به ترمینال معاملاتی میم کوین DEXX است که به دلیل درز کلید خصوصی به خطر افتاد، که حداقل ۹۰۰ کاربر را تحت تاثیر قرار داد. اکثریت کمتر از ۱۰,۰۰۰ دلار از دست دادند، در حالی که یک کاربر بیش از یک میلیون دلار ضرر کرد.در همان ماه، پروتکل دیفای Delta Prime که در Avalanche و Arbitrum فعالیت می‌کند، شاهد دومین حادثه بزرگ خود در سال بود. این واقعه منجر به ضرر ۴.۸ میلیون دلاری شد، پس از یک حمله ۶ میلیون دلاری در سپتامبر.

خروج از نسخه موبایل