هشدار CertiK: آسیب‌پذیری‌های Tact در TON تهدیدی برای امنیت تراکنش‌ها

زبان برنامه‌نویسی Tact در بلاکچین TON دارای ریسک‌های امنیتی است - گزارش CertiK

یک گزارش امنیتی جدید نگرانی‌هایی را درباره Open Telegram Network (TON)، یک پلتفرم بلاکچین که به دلیل رویکرد کاربرپسند خود در قراردادهای هوشمند شناخته می‌شود، مطرح کرده است. این گزارش که توسط شرکت امنیتی Web3 CertiK تهیه شده، به آسیب‌پذیری‌های احتمالی در Tact، زبان برنامه‌نویسی طراحی‌شده به‌طور خاص برای TON، اشاره می‌کند. در حالی که Tact هدفش ساده‌سازی توسعه و افزایش امنیت است، این ممیزی نشان می‌دهد که برخی شیوه‌های کدنویسی می‌توانند به‌طور ناخواسته قراردادهای هوشمند را در معرض خطر قرار دهند.

CertiK، Tact را با زبان قبلی آن، یعنی FunC، مقایسه کرده و اشتباهات رایجی را که توسعه‌دهندگان هنگام استفاده از این زبان مرتکب می‌شوند، شناسایی کرده است. این اشتباهات می‌توانند منجر به شکست تراکنش‌ها، از دست رفتن وجوه و ایجاد شکاف‌های امنیتی قابل بهره‌برداری شوند.

نگرانی‌های کلیدی

یکی از نگرانی‌های اصلی مطرح‌شده در این گزارش، فرمت سختگیرانه آدرس‌ها در Tact است. ناسازگاری این فرمت با استانداردهای موجود، مانند TEP-74، می‌تواند منجر به تراکنش‌های ناموفق یا از دست رفتن توکن‌ها شود، مشابه ارسال نامه به یک آدرس نادرست.

CertiK همچنین به چالش‌های مدیریت عملیات همزمان اشاره کرده است. در حالی که بلاکچین TON از آسیب‌پذیری‌هایی مانند reentrancy که در اتریوم رایج است جلوگیری می‌کند، ترتیب غیرقابل پیش‌بینی تراکنش‌ها می‌تواند به مهاجمان اجازه دهد تا از تفاوت‌های زمانی سوءاستفاده کنند و آسیب‌پذیری‌هایی مشابه حملات man-in-the-middle ایجاد کنند.

یکی دیگر از زمینه‌های نگرانی، سریال‌سازی داده‌ها است. CertiK خاطرنشان کرد که توسعه‌دهندگان باید به‌طور صریح داده‌ها را در قراردادهای هوشمند سازماندهی کنند. عدم انجام این کار می‌تواند منجر به سوءتعبیرها و رفتارهای غیرقابل پیش‌بینی برنامه شود، مشابه مونتاژ مبلمان با دستورالعمل‌های ناقص.