زبان Tact در بلاکچین TON دارای خطرات امنیتی است – گزارش CertiK
یک گزارش امنیتی جدید نگرانیهایی درباره شبکه بلاکچین «اوپن تلگرام» (TON)، یک پلتفرم بلاکچین شناخته شده برای رویکرد کاربرپسند خود به قراردادهای هوشمند، ایجاد کرده است.گزارش انجام شده توسط شرکت امنیتی وب3 «سرتیک»، بر آسیبپذیریهای احتمالی در «تکت»، زبان برنامهنویسی طراحی شده برای TON، تاکید دارد. در حالی که تکت هدف دارد توسعه را ساده کرده و امنیت را افزایش دهد، گزارش نشان میدهد که برخی رویکردهای برنامهنویسی ممکن است ناخواسته قراردادهای هوشمند را به خطر اندازد.سرتیک تکت را با زبان قبلی «فانک» مقایسه کرده و اشتباهات رایجی که توسعهدهندگان هنگام استفاده از زبان مرتکب میشوند شناسایی کرده است. این اشتباهات میتوانند منجر به شکست تراکنشها، از دست دادن وجوه و خلاءهای امنیتی قابل بهرهبرداری شوند. یکی از نگرانیهای کلیدی که در گزارش به آن پرداخته شده، قالب آدرس سختگیرانه تکت است. ناسازگاری این قالب با استانداردهای موجود، مانند TEP-74، ممکن است باعث تراکنشهای ناکام یا از دست رفتن توکنها شود، مشابه با ارسال نامه به آدرس اشتباه.سرتیک همچنین چالشهای مدیریت عملیاتهای همزمان را گزارش داده است. در حالی که بلاکچین TON از آسیبپذیریهای مانند بازگشت مکرر که در اتریوم شایع است، جلوگیری میکند، ترتیب تراکنشهای غیرقابل پیشبینی میتواند به مهاجمان اجازه دهد تفاوتهای زمانی را بهرهبری کنند و آسیبپذیریهای مشابه با حملات «مرد میانی دستیابی» ایجاد کنند.یکی دیگر از زمینههای نگرانی سریالسازی دادهها است. سرتیک یادآوری کرده که توسعهدهندگان باید بهطور صریح دادهها را در قراردادهای هوشمند منظم کنند. عدم انجام این کار ممکن است به تفاسیر نادرست و رفتار غیرقابل پیشبینی برنامه منجر شود.گزارش همچنین به اشتباهات بالقوه در مدیریت اعداد توسط Tact اشاره کرده که در صورت نبود دقت میتواند به خطاهای عملکردی منجر شود. علاوه بر این، سرتیک اهمیت مدیریت «گاز»، هزینه لازم برای اجرای تراکنشهای بلاکچین را بیشتر تأکید کرد. برآورد و کنترل نادرست مصرف گاز توسط توسعهدهندگان میتواند باعث شکست تراکنشها در میانه راه یا حتی کانالیزه کردن بودجه از یک قرارداد شود.چالشهای امنیتی عمده در اکوسیستم گستردهتر کریپتو همچنان ادامه دارد. طبق گزارشی از Immunefi، تقریباً ۱.۵ میلیارد دلار در وقایع مرتبط با کریپتو در سال ۲۰۲۴ به سرقت رفته است، علیرغم کاهشی ۱۵ درصدی نسبت به سرمایههای سرقت شده نسبت به سال گذشته.نوامبر به تنهایی شاهد ناپدید شدن بیش از 71 میلیون دلار در داراییهای دیجیتال بوده است، که مجموع از اول سال جاری را به بیش از 1.48 میلیارد دلار در طی ۲۰۹ حادثه رسانده است.یکی از وقایع قابل توجه در ماه نوامبر مربوط به ترمینال معاملاتی میم کوین DEXX است که به دلیل درز کلید خصوصی به خطر افتاد، که حداقل ۹۰۰ کاربر را تحت تاثیر قرار داد. اکثریت کمتر از ۱۰,۰۰۰ دلار از دست دادند، در حالی که یک کاربر بیش از یک میلیون دلار ضرر کرد.در همان ماه، پروتکل دیفای Delta Prime که در Avalanche و Arbitrum فعالیت میکند، شاهد دومین حادثه بزرگ خود در سال بود. این واقعه منجر به ضرر ۴.۸ میلیون دلاری شد، پس از یک حمله ۶ میلیون دلاری در سپتامبر.