TonBit レポート:2024 TON エコシステム全景観察および安全研究レポート
TONを選ぶ理由は、Telegram自体のエコシステムを認識することにあります。1. 前言
本報告はWeb3ブロックチェーンセキュリティ監査会社BitsLabの子ブランドTonBitがパートナーTONXと共同で制作したものです。ブロックチェーン技術の継続的な発展と応用の拡大に伴い、TONエコシステムは2024年に引き続き強力な成長を示し、多くの開発者、投資家、ユーザーの注目を集めています。
2024年、TONエコシステムは技術革新、アプリケーションの実装、コミュニティ構築などの面で顕著な進展を遂げ、ブロックチェーン分野での地位をさらに強化しました。しかし、エコシステムの急速な発展に伴い、セキュリティ問題もますます顕在化しています。進化し続けるセキュリティ脅威に対して、どのように効果的に防止し、対応するかがTONエコシステムの重要な課題となっています。
2. TONエコシステムの概要
2.1 TONエコシステムの紹介
基本紹介とアーキテクチャ
TON(The Open Network)は、Telegramによって作成されたブロックチェーンおよびデジタル通信プロトコルであり、迅速、安全、かつスケーラブルなブロックチェーンプラットフォームを構築し、ユーザーに分散型アプリケーションとサービスを提供することを目的としています。ブロックチェーン技術とTelegramの通信機能を組み合わせることで、TONは高性能、高セキュリティ、高スケーラビリティを実現しています。開発者はさまざまな分散型アプリケーションを構築でき、分散ストレージソリューションを提供します。従来のブロックチェーンプラットフォームと比較して、TONはより高速な処理速度とスループットを持ち、Proof-of-Stakeコンセンサス機構を採用しています。
2.2 なぜTONを選ぶのか
ビットコインやイーサリアムの強力な流動性とコミュニティとの競争の中で、TONは独自の優位性を示しています。Vitalik Buterinが提唱したブロックチェーンの三難問題は、Layer 1ネットワークがセキュリティ、スケーラビリティ、効率のバランスを取る上で直面する課題を説明しています。ビットコインとイーサリアムにはそれぞれ利点と欠点がありますが、TONは柔軟で分割可能なPoSアーキテクチャを通じてこれらの課題の多くを克服しています。
2.2.1 柔軟で分割可能なPoSアーキテクチャ
TONは権利証明コンセンサス機構を採用し、チューリング完全なスマートコントラクトと非同期ブロックチェーンを通じて高性能と多機能性を実現しています。TONの超高速で低コストの取引は、チェーンの柔軟で分割可能なアーキテクチャによって支えられています。このアーキテクチャは、性能を損なうことなく容易に拡張できることを可能にします。動的分割は、各自の目的を持つ個別の分割を初期開発し、これらの分割が同時に実行され、大規模な積み残しを防ぎます。TONのブロック時間は5秒で、最終確定時間は6秒未満です。
既存のインフラは2つの主要部分に分かれています:
● マスターチェーン(Masterchain):プロトコルのすべての重要なデータを処理し、検証者のアドレスや検証されたコインの量を含みます。
● ワークチェーン(Workchain):マスターチェーンに接続されたサブチェーンで、すべての取引情報やさまざまなスマートコントラクトを含み、各ワークチェーンは異なるルールを持つことができます。
2.2.2 拡張用例と利点
TON財団はTONコアコミュニティによって運営されるDAOで、TONエコシステム内のプロジェクトにさまざまなサポートを提供します。2024年、TONコミュニティは複数の面で顕著な進展を遂げました:
● TON Connect 2.0の導入:ウォレットとアプリケーションを接続する直感的な方法を提供し、ユーザー体験を改善しました。
● TON Verifier:Orbsチームによって作成されたスマートコントラクトチェッカーで、契約の信頼性を向上させました。
● Blueprint開発ツール:開発者がスマートコントラクトを作成、テスト、展開するのを支援します。
● Sandbox開発者ツールキット:企業から政府までさまざまな用例に適しています。
● Tact言語のベータ版:より強力なプログラミング環境を促進します。
● TON Societyの国際化:世界の複数の都市で国際センターを立ち上げました。
● DeFi流動性インセンティブプログラム:プロジェクトに資金を提供し、TON DeFi分野の持続可能性を促進します。
2.3 2024年TONの発展方向と目標の概要
TONの発展ロードマップには、ステーブルコインツールキット、分割ツール、BTC、ETH、BNBのネイティブブリッジなど、多くの興味深い計画が含まれています。
● ガス代無料取引:TONは特定の状況でガス代を補助し、より多くのユーザーを引き付ける可能性があります。
● 検証ノードとパッキングノードの分離:これはTONのスケーラビリティにおける重要なアップグレードで、2028年までに5億のTelegramユーザーを取り込む計画です。
● 選挙人と設定契約の更新:ユーザーがネットワーク提案に投票できるようにします。
● TONステーブルコインツールキット:誰でも地元の法定通貨に連動したアルゴリズムステーブルコインを発行できるようにします。
● Jetton Bridge:ユーザーがTONトークンを他のチェーンに送信できるようにします。
● ETH、BNB、BTC Bridge:主要な暗号通貨をTONに導入するための公式ブリッジを導入します。
● 非ネイティブトークン:TONユーザーがネイティブに似たトークンを作成できるようにします。
3. エコシステムの発展状況
3.1 エコシステムの概況
TON財団の公式ウェブサイトには、DeFi、ゲーム、ソーシャルメディア、ツールアプリなど、幅広い分野をカバーする約1000のアプリケーションが展示されています。これらのプロジェクトを通じて、TON財団はブロックチェーン技術分野でのリーダーシップを示し、革新とエコシステムの発展を促進しています。
3.2 TONエコシステムの重要指標
2024年7月27日現在、TONチェーン上の検証ノードの数は383、総質権$TONの数は5.9億以上で、29か国に分布しています。日々のアクティブアドレス数は37.3万に達し、昨年同期比で5360%の増加を示しています。TONネットワークのDeFiエコシステムは強力な発展の勢いを示し、独立ユーザー数は1,784,089、総ロック量(TVL)は706,307,873ドル、流動性提供者数は26,297です。
3.3 TONが強力な分散型プラットフォームになる方法
3.3.1 TONに基づく分散型ゲームを構築する主な理由
TONブロックチェーンに基づいて分散型ゲームを開発することは、企業や開発者にさまざまな利点を提供します:
● Telegramとの統合:9億以上の月間アクティブユーザーへのアクセスを提供します。
● 強力なユーザー獲得と保持ツール:Telegramアプリセンターや広告ツールを含みます。
● 迅速かつ効率的なブロックチェーン:毎秒100,000件以上の取引を処理し、低コストを維持します。
● 多様なマネタイズ機会:アプリ内広告や取引可能な非同質化トークンなど。
● シンプルでアクセスしやすい:GameFi Web3開発者やプレイヤーに適した一連のツールを提供します。
4. TONエコシステムのセキュリティ研究
4.1 TONでの安全な開発方法
スマートコントラクトの安全性を確保するために、一連のセキュリティ対策を講じる必要があります。以下はTONエコシステムにおける重要なセキュリティプラクティスのいくつかです:
1. アクセス制御
説明:契約内に重要なロジックや敏感な操作がある場合、特定の権限を持つユーザーに実行させる必要があります。攻撃者が敏感な操作を実行するのを防ぐために、アクセス制御を適切に行うべきです。
実践:
権限制御が必要な操作を特定します。
権限を必要とする操作に対して、メッセージの送信者を検証してアクセスを制限します。
契約のニーズの変化に応じて、アクセス制御ポリシーを定期的に見直し、更新します。
具体的な提案は以下を参照:
https://github.com/ton-blockchain/TEPs/pull/180 https://github.com/ton-blockchain/TEPs/pull/181
2. メッセージ入力の検証
説明:スマートコントラクト内で外部入力の適切な検証やフィルタリングが欠如していると、悪意のあるユーザーや攻撃者が悪意のあるデータを入力し、不安全な動作や脆弱性を引き起こす可能性があります。
実践:
すべての外部入力に対して厳格な検証とフィルタリングを行います。これにはデータ型の検証、境界条件のチェック、ユーザー入力のクリーンアップが含まれます。
すべての可能な入力シナリオを考慮し、エッジケースや予期しない入力を含めます。
入力検証ロジックを定期的に監査し、テストします。
3. ガス使用量の確認
説明:内部メッセージを処理する際、送信者は通常ガス使用料を支払う必要があります。外部メッセージを処理する際、契約がガス使用量を支払います。これは外部メッセージ内のガス使用に注意を払う必要があることを意味します。契約のガス使用状況を常にテストし、すべてが期待通りに機能しているかを確認し、契約残高を枯渇させる可能性のある脆弱性を避けるべきです。
実践:
開発中にガス使用状況を監視し、最適化します。
高消費操作を防ぐためにガス制限を使用します。
異なるシナリオでの契約のガス消費状況を定期的にテストします。
4. タイムスタンプ依存
説明:一部のスマートコントラクトの動作はブロックのタイムスタンプに依存しており、ブロックのタイムスタンプは検証者によって操作される可能性があります。たとえば、検証ノードは特定の取引を選択的に含めたり排除したりすることができ、特定の目的のためにタイムスタンプを調整することができます。このような行動は契約ロジックが操作される原因となり、安全リスクをもたらします。
実践:
重要なロジック判断においてブロックのタイムスタンプに直接依存することを避けます。
タイムスタンプを使用する必要がある場合は、より信頼性が高く制御不能な方法を使用することを確認します。
時間が一定の範囲内で変動できるようにするために、時間バッファメカニズムを採用し、単一の時間点への依存を減らします。
契約ロジックを定期的に見直し、タイムスタンプ操作の影響を受けないことを確認します。
5. 整数オーバーフロー
説明:整数のオーバーフローとアンダーフローは、変数の表現範囲を超える指数値演算であり、計算結果が不正確になる原因となります。整数オーバーフローは通常、加算、減算、乗算などの演算中に発生します。制御しないと、残高計算の不正確さや意図しない資金移動など、深刻な安全問題を引き起こす可能性があります。
実践:
整数演算を処理するために安全な数学ライブラリを使用します。
すべての数学演算の前後にオーバーフローのチェックを追加します。
契約コードを定期的に監査し、すべての整数演算が保護されていることを確認します。
6. 丸め誤差
説明:丸め誤差のリスクは、数値演算における精度の制限や不適切な丸め方法によって計算結果に誤差が生じることを指します。特に通貨や高精度の数値を扱う際、丸め誤差は資金の損失や不公平な分配を引き起こす可能性があります。
実践:
通貨演算を処理するために高精度の数値ライブラリや固定小数点数ライブラリを使用します。
数値演算ロジックを定期的にテストし、検証して精度が期待通りであることを確認します。
コード内で丸め方法を明示的に示し、一貫性を確保します。
7. サービス拒否
説明:サービス拒否のリスクは、スマートコントラクトの計算リソースを消費したり、エラー条件を引き起こしたりすることで、契約が正常に実行できなくなったり、無限の操作に陥ったりすることを指します。これにより、正当なユーザーが契約と相互作用できなくなり、契約の状態更新が妨げられる可能性があります。
実践:
長時間実行される操作を避けるために、ループの回数や再帰の深さを制限します。
重要な操作の前に残りのガスを確認し、ガス不足による取引失敗を避けます。
契約ロジックを定期的に見直し、効率性と信頼性を確保します。
重要な操作を記録するためにイベントログを使用し、障害のトラブルシューティングと復旧を容易にします。
8. ビジネスロジック
説明:ビジネスロジックの脆弱性は、スマートコントラクトがビジネスプロセスを実現する際の設計上の欠陥や実装ミスを指し、契約が特定の状況で異常に動作する原因となります。これらの脆弱性は悪意のあるユーザーによって利用され、資金の損失、データの改ざん、契約機能の無効化などの深刻な結果を引き起こす可能性があります。ビジネスロジックの脆弱性は通常、コーディングエラーではなく、ビジネス要件やプロセスの誤解や不完全な実装によるものです。
実践:
ビジネス要件を深く理解し分析し、ロジック設計が正しいことを確認します。
定期的にコード監査とロジック検証を行い、脆弱性を迅速に発見し修正します。
すべての可能なビジネスシナリオをカバーする包括的なテストケースを作成します。
上記のセキュリティプラクティスを通じて、スマートコントラクトの安全性を大幅に向上させ、リスクを低減し、契約の安定した運用とユーザーの資金の安全を確保できます。
4.2 TONエコシステムのセキュリティ事件の振り返り
2024年、TONエコシステム内で複数のセキュリティ事件が発生し、その安全性に関する課題が明らかになりました。以下は重要な事件の詳細な説明、事件の原因、影響、解決策の分析、およびいくつかの典型的なセキュリティ脆弱性の振り返りです。
1. あるプロトコルのステーキング契約が攻撃を受け、大量のトークンが損失
時間 :2024年5月22日
損失額 :/
根本原因 :パラメータ設定の誤り
説明 :
TONエコシステムの繁栄を祝うステーキングイベントの後、プロトコルのパラメータ設定の誤りにより、あるプロトコルのステーキング契約がハッカーの攻撃を受け、大量のトークンが盗まれました。事件発生後、プロジェクト側はすぐにステーキング報酬の受け取り機能を停止し、307,264トークンの回収のために大量の$USDTを配分しました。
攻撃発生後、プロジェクト側は迅速にTonBitに監査を依頼しました。TonBitはその専門性を示し、迅速に反応し、セキュリティ専門家チームを集めてプロジェクトのコアコードの包括的かつ詳細なセキュリティ監査を行いました。TonBitのセキュリティ専門家は6つの低リスク問題を発見し、すぐにプロジェクトチームと詳細なコミュニケーションを取りました。豊富な経験と専門的な技術力を持つTonBitは、問題の具体的な解決策を提供するだけでなく、チームがすべての問題を迅速に修正するのを支援し、契約の安全性と安定性を確保しました。
TonBit監査で発見された設定に関連する問題:
解決策 :パラメータ設定の修正
2. ハッカーがウォレットの表示可能なコメント情報を利用してユーザーを誤導
時間 :2024年5月10日
損失額 :22,000 TON
根本原因 :ウォレットが取引時に表示するコメント情報がユーザーを誤導する可能性がある
説明 :
Tonでtransfersメッセージを処理する際、注釈(comment)を追加できますが、一部のウォレットのUIデザインには潜在的な誤導リスクがあります。この設計上の欠陥がハッカーによって利用され、transfersメッセージの注釈内容を操作することで、ハッカーは取引中にユーザーに虚偽の情報を表示し、詐欺行為を実施し、ユーザーの誤操作を引き起こし、資金の損失を招きました。
解決策 :
この問題を解決するために、ウォレットアプリはこれらの情報を表示する際に目立つ注釈を追加し、ユーザーにこれらの内容が信頼できないことを警告する必要があります。また、ウォレット開発チームはUIデザインを改善し、取引情報の表示の透明性と信頼性を確保する必要があります。同時に、ユーザーも識別能力を高め、疑わしい取引情報に警戒する必要があります。
さらなる措置 :
TonBitは、ウォレット開発チームが取引の注釈情報を表示する際に多層検証メカニズムを導入することを提案しています。たとえば、注釈情報のソース検証を行い、情報の信頼性を確保します。また、定期的にユーザー教育を行い、安全提示を発表して、ユーザーが潜在的な詐欺行為を識別し防止できるようにします。技術手段とユーザー教育を組み合わせることで、このようなセキュリティ事件の発生を効果的に減少させることができます。
3. BookPadがバックドアのある契約を使用して資金を騙し取った後、逃走
時間 :2024年4月15日
損失額 :74,424 TON
根本原因 :BookPadがバックドア契約を使用してユーザーの資金を吸い上げた後、逃走
説明 :
BookPadはバックドアのある非公開のスマートコントラクトを発表し、プレセール活動を開始しました。十分な資金を受け取った後、彼らは契約内のバックドアを利用して資金を引き出し、迅速に逃走しました。
解決策 :
このような事件が再発しないように、ユーザーはプロジェクトへの投資活動に参加する前に、できるだけ多くのプロジェクト情報を収集し、オープンソースで厳格なセキュリティ監査を受けたプロジェクトを選択するべきです。
TonBitはユーザーに特に以下の点に注意することを提案します:
1. プロジェクトのオープンソース性 :スマートコントラクトコードがオープンソースであることを確認し、独立したセキュリティ専門家が監査できるようにします。これにより、隠れた脆弱性や悪意のあるコードがないことを保証します。
2. セキュリティ監査 :著名なセキュリティ監査機関によって監査されたプロジェクトを選択します。セキュリティ監査は契約内の潜在的な脆弱性を発見し修正し、追加の保障を提供します。
3. プロジェクトの背景調査 :プロジェクト側の背景、チームメンバーの信用と履歴を調査します。透明性が高く、信用のあるプロジェクト側はより信頼できます。
4. コミュニティのフィードバック :プロジェクトに対するコミュニティのフィードバックに注意を払い、議論に参加し、プロジェクトの評判や潜在的なリスクを理解します。
さらなる措置 :
TonBitはTONエコシステムにおいて、より厳格な規制と監査メカニズムを導入し、新プロジェクトの資格審査を行い、安全基準を満たすことを保証することを提案します。また、公共の契約コードライブラリを設立し、審査を通過した契約のみが使用できるようにします。これにより、ユーザーの資金が盗まれるリスクが大幅に低減され、TONエコシステム全体の安全性と信頼性が向上します。
5 ユーザーがTONとTelegramで安全を保つ方法
TONとTelegramエコシステムの急速な発展に伴い、現在3800万以上のアクティブアカウントが存在し、それに伴う注目度はより大きなリスクをもたらしています。
詐欺師や悪意のある行為者は、新たに流入する初心者ユーザーを狙っています。最も安全なエコシステムでも、潜在的なリスクを理解し、警戒を保つことが重要です。以下は最も一般的な詐欺手法ですので、注意が必要です。
5.1 一般的な詐欺手法
1. 緊急の助けを必要とする友人 :詐欺師が友人や家族を装い、緊急に資金を要求します。必ずその身元を確認してください。
2. フィッシングサイト :偽のウェブサイトが本物のウェブサイトを模倣し、ログイン情報を盗みます。URLを確認し、出所不明のリンクをクリックしないでください。
3. 投資詐欺 :これらの詐欺は暗号通貨分野で非常に一般的で、高いリターンを約束しますが、証明がありません。徹底的に調査してください;もしあまりにも良すぎる話であれば、それは詐欺かもしれません。
4. 偽の調査 :調査に参加することで報酬を提供し、個人情報を盗みます。未知の調査者に詳細情報を提供しないでください。
5. 偽の仕事の機会 :魅力的な求人広告が個人情報の提供、アプリのダウンロード、または料金の支払いを要求します。公式なチャネルで確認してください。
6. 分類広告詐欺 :偽の広告が情報を盗むために虚偽のTelegramボットに誘導します。
7. 価格操作 :グループが暗号通貨の価格を操作して利益を得ることで、他の人に損失をもたらします。常に投資の提案を調査し、確認してください。
8. 恋愛詐欺 :オンライン関係の中で、詐欺師が金銭や個人情報を要求します。オンラインで知り合った人からの金銭要求には警戒を保ってください。
5.2 Toncoinピラミッド詐欺に警戒
TelegramのTONブロックチェーンへのサポートは、不幸にも一部の詐欺師を引き寄せ、無防備なユーザーを利用しようとしています。以下はこの詐欺の詳細な分析です:
1. 罠を仕掛ける :詐欺師が「独占的な利益を得るプラン」へのリンクを送信し、友人や連絡先からのものに見せかけます。彼らはユーザーを非公式のTelegramボットに誘導し、暗号通貨を保管するためのものだと偽ります。
2. 投資 :ユーザーは合法的なチャネル(ウォレット、P2P市場、または暗号通貨取引所)を通じてToncoinを購入するよう指示されます。これにより虚偽の信頼性が増します。購入後、ユーザーはそのToncoinを詐欺ボットに転送する必要があります。
3. アクセラレーター :被害者は別のボットを通じて「アクセラレーター」を購入するよう強制され、費用は5から500 Toncoinの間です。この段階で、ユーザーは自分の暗号通貨を失います。
4. 勧誘 :詐欺師は推薦プログラムを宣伝し、ユーザーにプライベートなTelegramグループを作成し、友人を招待するよう要求します。彼らは、1人を推薦するごとに25TONの固定報酬と、推薦者の購入に基づくアクセラレーターの手数料を約束します。
実際、これは典型的なピラミッド詐欺です。詐欺師が利益を得る一方で、他の人は投資元本を失います。
5.3 ネット詐欺を避ける方法
ネット詐欺から自分を守り、Telegramアカウントの安全を確保するために、以下の基本的なステップを遵守してください:
1. Telegramの二段階認証を有効にする :「設定 > プライバシーとセキュリティ > 二段階認証」に進み、アカウントに追加のセキュリティを追加します。
2. 連絡先を確認する :特に個人情報や資金を要求するメッセージには警戒を保ち、未請求のメッセージには注意してください。別の方法で送信者の身元を確認します。
3. 定期的にTelegramアカウントの活動を確認する :「設定 > デバイス > アクティブセッション」に進み、アカウントに未知のデバイスやセッションがないか確認します。
4. 疑わしい活動を報告する :詐欺行為に遭遇した場合は、Telegramに報告してください。
5. 急速に富を得る計画を避ける :これらの計画には警戒を保ち、友人や家族からの推薦であっても、彼らも被害者である可能性があります。
6. 不明なウォレットに暗号通貨を移転しない :暗号通貨を移転する前に、必ず受取人の身元を確認し、詐欺に遭わないようにします。
TONとTelegramで安全を保つには、警戒心と意識が必要です。一般的な詐欺手法を認識し、これらの安全提示に従うことで、資産と個人情報を保護できます。常に情報源を確認し、あまりにも良すぎるオファーには疑念を持ち、公式なチャネルを通じてのみ取引を行ってください。情報を常に把握し、慎重に行動することで、TONとTelegramがもたらす利点を安心して享受し、詐欺の被害者にならないようにしましょう!
6. まとめ
TONを選ぶ理由は、Telegram自体のエコシステムを認識することにあります。TON上にWeb3プロジェクトを展開することで、Telegramの巨大なユーザー群、月間アクティブユーザーが7億を超える恩恵を受けることができます。この統合は、分散型アプリケーションの繁栄に肥沃な環境を提供します。TonBitはTONエコシステムに包括的なセキュリティ保障を提供し、プロジェクトがより高い安全基準とユーザーの信頼を実現できるよう支援します。TONエコシステムの安全の守護者として、TonBitは引き続き努力し、ブロックチェーン技術の発展に貢献していきます。
完全な報告書リンク:https://tonbit.xyz/reports-page または「原文を読む」をクリックして完全な報告書を確認してください。
