TON 生態系統的蓬勃發展,始終建立在創新、去中心化與社區協作的堅實根基之上。在這片數字沃土中,BitsLab 旗下的 TonBit 作爲 TON 官方認證的安全保障供應商(SAP),始終堅守着 TON 網絡安全守護者的使命。

TonBit 目前已累計完成對 30 餘個 TON 重點項目的安全審計,成功發現並協助修復 TON 上多個漏洞。同時,通過舉辦 TON CTF 網絡安全競賽、TON Global Hackerhouse 等系列活動,持續爲生態注入安全基因以及爲 TON 項目創新帶來持續動能。

隨着 TON 生態系統向多領域、多維度持續拓展,TonBit 正憑藉其專業的安全技術能力,爲整個生態構建更加穩固的安全防線。本次專訪,我們將帶您深入瞭解 TonBit 的技術成就與未來規劃。

Q1:能否介紹一下 TonBit 及其在 TON 生態系統中的角色?

 

TonBit:TonBit 是 BitsLab 旗下的核心子品牌,作爲 TON 生態系統中可信賴的安全保障供應商(SAP)和早期建設者,我們致力於通過提供全面的安全審計、漏洞檢測和主動滲透測試來強化 TON 基礎設施安全。作爲 TON 基金會官方認可的 SAP,我們專注於審計採用 Tact 和FunC 編寫的智能合約,確保基於 TON 構建的項目具備技術穩健性和長期韌性。

 

Q2:TonBit爲TON生態項目提供哪些服務?

 

TonBit: 我們主要提供兩大核心服務:

 

智能合約審計:對 Tact/FunC 合約進行深度代碼審查

滲透測試:爲具有重大影響的 Web3 項目提供主動安全評估

 

迄今爲止,我們已完成超過 30 個 TON 項目的安全審計,包括 Tonstakers、Torch Finance、Fiva Protocol、Duckchain、Catizen 等重點項目。

 

此外,我們在漏洞挖掘領域也成果頗豐,目前已發現並協助修復了 TON 上三個漏洞,包括一個關鍵漏洞,一箇中危漏洞,一個 TON RUNVM 漏洞。

 

Q3:TonBit曾主辦TON CTF競賽,這一活動的初衷是什麼?

 

TonBit:TON CTF 競賽旨在培育 TON 生態系統的安全優先文化。旨在吸引並挑戰安全專家與開發者。參賽者將使用 FunC 和 Tact 語言進行挑戰。我們認爲,TON CTF 是 TON 開發者提升技能、探索安全領域的寶貴且有趣的方式,旨在推動創新、技能發展,並加深對 TON 生態中 FunC 和 Tact 語言的理解。活動吸引了來自 20 多所全球高校和安全機構,吸引了 300 餘支隊伍參與,極大提升了參與者在 TON 生態中的安全意識。這不僅是一場競賽,更是爲 TON 未來安全守護者搭建的孵化平臺。

 

Q4: TON Global Hackerhouse 活動如何推動生態發展?

 

TonBit:2025 年我們與 TON 官方、TONX、TON Society 及 TON Core 聯合舉辦的 TON Global Hackerhouse,匯聚了全球開發者共建 TON 生態。活動不僅吸引了頂尖項目參與,獲得數百萬級曝光,更推動了去中心化金融領域的創新突破,充分展現了 TON 作爲可擴展區塊鏈的現實應用潛力。

 

作爲 TON 生態指定的安全守護者,TonBit 始終以高度警惕的姿態防範各類潛在威脅。在此次深度專訪中,TonBit 安全團隊爲我們詳細解析了三項漏洞發現——從足以癱瘓網絡的"嚴重級"風險,到影響系統性能的"中危級"漏洞,乃至虛擬機層面的複雜攻擊向量。每個案例都彰顯了 TonBit 卓越的技術實力和"防患於未然"的安全理念。

 

Q5:TonBit 在 2024年 發現了一個 TON 虛擬機關鍵漏洞,能否說明其影響?

 

TonBit:在 2024年11月,TON 官方團隊在其最新版本更新說明中,正式致謝 BitsLab 旗下的安全團隊 TonBit 對於 TON 虛擬機中關鍵漏洞的發現工作。該漏洞若被惡意利用,可能導致虛擬機資源耗盡、系統崩潰,進而影響整個 TON 網絡的穩定性。

 

該漏洞的根本原因在於 TON 虛擬機在處理合約延續(continuations)時的嵌套操作設計存在風險。惡意合約可以通過創建深度嵌套的延續結構,引發遞歸評估過程,從而耗盡虛擬機的宿主棧空間。這種資源耗盡攻擊可能導致 TON 虛擬機異常崩潰,簡單來說就是不用一個 TON,就可以導致所有的 Validator 宕機,直接影響系統的可用性。

 

TonBit 團隊經過深入分析,和 Ton Core 協作提出了創新的解決方案,該方案可以調整虛擬機的內部跳轉機制,以迭代方式替代遞歸調用,可以有效防止此類攻擊的發生。該解決方案已在 TON 最新版本中得到應用,爲 TON 用戶提供了更安全、穩定的操作體驗。

 

 

Q6:TonBit 如何處理 TON 輕節點的另一個漏洞?

 

TonBit:同樣在 2024 年 11 月,我們發現 TON 輕量節點存在“延續參數濫用漏洞”。這個漏洞的核心在於攻擊者可以利用深度嵌套的 Continuations(延續)參數來消耗節點的計算資源。簡而言之,這是一種看似“合法”的請求,卻可能讓節點“忙到停不下來”。想象一下,一輛看似正常的車,卻因爲某個隱藏的小問題,始終耗費更多的燃料。這正是這個漏洞帶來的問題——它悄悄地吞噬着計算資源,影響整個網絡的吞吐量。

 

最終我們通過優化參數處理邏輯,協助 TON 團隊提升輕節點性能,維護了網絡的流暢性與抗攻擊能力。

 

Q7:2025 年發現的 TON RUNVM 漏洞有什麼影響?

 

TonBit:RUNVM 指令非原子狀態遷移漏洞。攻擊者可藉助子虛擬機耗盡 gas 的瞬間,污染父虛擬機的庫(libraries)並誘發後續調用失敗,最終導致依賴庫完整性的合約出現異常行爲。

 

我們當時已第一時間將技術細節與緩解方案提交給 TON 基金會,並協助其完成修復;並建議所有開發者在官方補丁發佈後及時更新依賴庫;同時在自研合約中加入更嚴謹的庫完整性驗證與 gas 管理邏輯,以防止類似問題被惡意利用。



Q8:TonBit與其他區塊鏈安全公司相比有何獨特優勢?

 

TonBit:我們的核心競爭力體現在三大維度:

 

TON 專屬技術專長:不僅精通 Tact 和 FunC 語言,更具備專業的滲透測試與漏洞挖掘能力。

生態深度整合:作爲官方SAP,我們深度保護 TON 生態安全,已審計了超 30 個 TON 生態的重要項目。

社區共建能力:通過 CTF 競賽、TON Global Hackerhouse 等活動增強生態社區互動以及提升社區安全意識以及加強社區建設。

 

我們不止於代碼審計——更致力於打造堅不可摧的生態系統。

 

Q9:TonBit在2025-2026年有哪些重點規劃?

 

TonBit:我們將重點推進三大戰略方向:

 

持續守護 TON 生態安全:持續爲 TON 生態中的項目提供可信賴的安全審計,開發 Tact/FunC 智能合約自動化掃描工具,持續加強滲透測試與漏洞挖掘工作,爲整個生態系統構建安全防護體系

 

產學研合作:與頂尖學術機構建立聯合實驗室,開展 TON 生態安全專項研究

 

開發者賦能計劃:通過安全培訓課程和實戰演練,持續提升開發者安全意識——因爲安全的TON 生態始於教育築基。

 

結語:作爲 TON 生態的  Primary Security Assurance Provider,TonBit 始終秉持 "安全爲先"的理念,通過前沿技術研發與社區共建雙輪驅動,致力於構建一個以信任爲基礎、創新爲動力的區塊鏈安全生態體系。他們將持續深化智能合約審計、漏洞挖掘、滲透測試等核心安全服務,同時通過開發者教育計劃賦能生態建設。歡迎訪問 TonBit 官方 GitHub 或關注 X(原Twitter)賬號,獲取最新安全動態與技術成果。