TonBit:2024年 TON エコシステム全体の観察およびセキュリティ研究レポート
TechFlow厳選深潮セレクト
TonBit:2024年 TON エコシステム全体の観察およびセキュリティ研究レポート
本レポートは、最近のTONエコシステムプロジェクトにおけるセキュリティインシデントを分析し、エコシステム全体のセキュリティレベル向上に向けた具体的な脆弱性改善策を提供しています。
Web3業界の深掘り報道に専念し潮流を洞察執筆:TonBit
1. はじめに
本レポートは、Web3ブロックチェーンセキュリティ監査会社BitsLab傘下の子ブランドであるTonBitとパートナー企業TONXが共同で発行したものです。ブロックチェーン技術の継続的な進化と応用範囲の拡大に伴い、TONエコシステムは2024年に引き続き強力な成長を示しており、多数の開発者、投資家、ユーザーの注目を集めています。
2024年、TONエコシステムは技術革新、実用化、コミュニティ構築など多方面で顕著な進展を遂げ、ブロックチェーン分野における地位をさらに確固たるものにしました。しかし、エコシステムの急速な発展とともに、セキュリティ課題もますます顕在化しています。変化し続けるセキュリティ脅威に対し、いかに効果的に予防・対処するかは、TONエコシステムにとって重要なテーマとなっています。
2. TONエコシステム概要
2.1 TONエコシステム紹介
基本情報とアーキテクチャ
TON(The Open Network)はTelegramが構築したブロックチェーンおよびデジタル通信プロトコルであり、高速かつ安全、スケーラブルなブロックチェーンプラットフォームを提供し、ユーザーに分散型アプリケーションやサービスを届けることを目的としています。ブロックチェーン技術とTelegramの通信機能を統合することで、TONは高性能・高セキュリティ・高拡張性を実現しています。開発者は各種DApps(分散型アプリ)を構築でき、分散型ストレージソリューションも提供されます。従来のブロックチェーンプラットフォームと比較して、TONはより速い処理速度と高いスループットを持ち、PoS(ステークドプルーフ)コンセンサスメカニズムを採用しています。
2.2 なぜTONを選ぶのか
ビットコインやイーサリアムといった巨大な流動性と強固なコミュニティを持つプラットフォームとの競争の中で、TONは独自の優位性を示しています。Vitalik Buterinが提唱した「ブロックチェーンの三難問題」は、レイヤー1ネットワークが安全性・拡張性・効率性のバランスを取ることの難しさを示しています。ビットコインとイーサリアムにはそれぞれ長所と短所がありますが、TONは柔軟でシャーディング可能なPoSアーキテクチャにより、これらの多くの課題を克服しています。
2.2.1 柔軟でシャーディング可能なPoSアーキテクチャ
TONはステークドプルーフ(PoS)コンセンサスを採用しており、チューリング完全なスマートコントラクトと非同期ブロックチェーンによって高性能と多機能性を実現しています。TONの極めて高速かつ低コストの取引は、柔軟でシャーディング可能なチェーンアーキテクチャによって支えられています。このアーキテクチャにより、性能を犠牲にすることなく容易にスケーリングが可能です。ダイナミックシャーディングでは、あらかじめ目的別に設計された個別のシャードが同時に動作し、大規模な取引の積み残しを防ぎます。TONのブロック生成時間は5秒、最終確定時間は6秒未満です。
既存のインフラは主に以下の2つの部分に分けられます:
● マスターチェーン(Masterchain):プロトコルの重要かつキーデータを処理する役割を担い、バリデータのアドレスやステーク量などの情報を管理します。
●ワーカーチェーン(Workchain):マスターチェーンに接続されるサブチェーンで、すべての取引情報やスマートコントラクトを含み、各ワーカーチェーンは異なるルールを持つことができます。
2.2.2 拡張ユースケースと利点
TON財団はTONコアコミュニティが運営するDAOであり、TONエコシステム内のプロジェクトに対して開発者支援や流動性インセンティブプログラムなどさまざまなサポートを提供しています。2024年、TONコミュニティは複数の分野で顕著な進展を遂げました:
●TON Connect 2.0のリリース:ウォレットとアプリケーションを直感的に接続できるようになり、ユーザーエクスペリエンスが向上しました。
●TON Verifier:Orbsチームが開発したスマートコントラクトチェッカーで、コントラクトの信頼性を高めます。
● Blueprint開発ツール:開発者がスマートコントラクトを記述・テスト・デプロイするのを支援します。
● Sandbox開発者キット:企業から政府機関まで幅広いユースケースに対応します。
● Tact言語のBeta版:より強力なプログラミング環境を促進します。
● TON Societyの国際化:世界中の複数都市に国際センターを設立しました。
● DeFi流動性インセンティブプログラム:プロジェクトに資金を提供し、TON上でのDeFi分野の持続可能性を推進します。
2.3 2024年のTONの発展方向と目標概要
TONのロードマップには、安定通貨キット、シャーディングツール、BTC・ETH・BNBへのネイティブブリッジなど、興味深い計画が盛り込まれています。
● ガスフリー取引:TONは特定条件下でのガス代を補助することで、より多くのユーザーを惹きつける可能性があります。
●バリデータノードとパッキングノードの分離:これはTONのスケーラビリティにおける大きなアップグレードであり、2028年までに5億人のTelegramユーザーを吸収することを目指しています。
● 選挙人および設定コントラクトの更新:ユーザーがネットワーク上の提案に投票できるようにします。
● TON安定通貨キット:誰でも自国の法定通貨に連動したアルゴリズム型ステーブルコインを発行可能にします。
●Jetton Bridge:ユーザーがTONトークンを他のチェーンに送信できるようにします。
● ETH、BNB、BTCブリッジ:主要暗号資産をTONに導入するための公式ブリッジをリリースします。
● ノンネイティブトークン:TONユーザーがネイティブのように振る舞うトークンを作成できるようにします。
3. エコシステムの発展状況
3.1 エコシステム概要
TON財団の公式サイトには約1000のアプリケーションが掲載されており、分散型金融(DeFi)、ゲーム、SNS、ツール類など幅広い分野をカバーしています。これらのプロジェクトを通じて、TON財団はブロックチェーン技術分野でのリーダーシップを示し、革新とエコシステムの発展を推進しています。
3.2 TONエコシステムの主要指標
2024年7月27日時点で、TONチェーン上には383のバリデータノードがあり、総ステーク量は5.9億$TON以上で、29カ国に分散しています。1日のアクティブアドレス数は37万3千に達し、前年比で5360%の増加となりました。TONネットワークのDeFiエコシステムは強力な成長を見せ、独立ユーザー数は1,784,089人、総ロック価値(TVL)は7億630万7873ドル、流動性プロバイダー数は26,297人です。
3.3 TONが強力な分散型ゲームプラットフォームとなる理由
3.3.1 TON上で分散型ゲームを開発する主な理由
TONブロックチェーンを活用した分散型ゲームの開発は、企業や開発者にとって以下のような利点を提供します:
●Telegramとの統合:月間アクティブユーザー9億人以上へのアクセスが可能。
● 強力なユーザーアクイジションとリテンションツール:Telegramアプリセンターと広告ツールを含む。
● 高速かつ効率的なブロックチェーン:1秒間に10万件以上の取引を処理でき、手数料も低水準。
● 多様なマネタイズ機会:アプリ内広告や売買可能なNFT(非代替性トークン)など。
● シンプルで使いやすい:GameFi Web3開発者やプレイヤー向けに一通りのツールを提供。
4. TONエコシステムのセキュリティ研究
4.1 TON上での安全な開発方法
スマートコントラクトの安全性を確保するためには、一連のセキュリティ対策を講じる必要があります。以下はTONエコシステムにおける主要なセキュリティ実践例です:
1. アクセス制御
説明:コントラクト内で重要なロジックや機密操作を特定の承認ユーザーのみが実行できるようにする場合、適切なアクセス制御が必要です。攻撃者が機密操作を実行して重大な損害を与えることを防ぐためです。
実践:
➢ 権限制御が必要な操作を明確にする。
➢ 権限が必要な操作については、メッセージ送信元を検証してアクセスを制限する。
➢ コントラクトのニーズ変化に合わせ、定期的にアクセス制御ポリシーを見直し更新する。
具体的な提案は以下を参照:
https://github.com/ton-blockchain/TEPs/pull/180
https://github.com/ton-blockchain/TEPs/pull/181
2. メッセージ入力の検証
説明:スマートコントラクトが外部からの入力を適切に検証またはフィルタリングしない場合、悪意あるユーザーが不正データを入力し、不安定な動作や脆弱性を引き起こす可能性があります。
実践:
➢ 外部入力に対して厳格な検証とフィルタリングを行う。データ型の確認、境界条件のチェック、ユーザー入力のクリーニングなどを含む。
➢ 境界ケースや想定外の入力など、すべての可能な入力シナリオを考慮する。
➢ 入力検証ロジックを定期的に監査・テストする。
3. ガス使用量の確認
説明:内部メッセージを処理する際、通常は送信者がガス代を負担します。一方、外部メッセージを処理する際はコントラクト側がガスを消費します。つまり、外部メッセージのガス使用には注意が必要です。常にコントラクトのガス使用量をテストし、予期しない動作やコントラクト残高の枯渇を防ぐ必要があります。
実践:
➢ 開発中にガス使用量を監視・最適化する。
➢ ガス上限を設定し、過度な消費を防ぐ。
➢ 異なるシナリオでコントラクトのガス消費を定期的にテストする。
4. タイムスタンプ依存
説明:一部のスマートコントラクトはブロックのタイムスタンプに依存して動作しますが、このタイムスタンプはバリデータによって操作される可能性があります。例えば、バリデータは特定の取引を選択的に含めたり除外したり、あるいは目的に応じてタイムスタンプを調整することが可能です。このような行為はコントラクトのロジックを歪め、セキュリティリスクを生じさせる恐れがあります。
実践:
➢ 重要なロジック判断において、ブロックタイムスタンプに直接依存しないようにする。
➢ タイムスタンプを使用する必要がある場合は、より信頼性が高く操作不能な方法を用いる。
➢ 時間バッファ機構を導入し、一定範囲内の変動を許容することで、特定の時点への依存を減らす。
➢ 定期的にコントラクトロジックをレビューし、タイムスタンプ操作の影響を受けないことを確認する。
5. 整数オーバーフロー
説明:整数のオーバーフロー・アンダーフローは、変数の表現範囲を超える算術演算により計算結果が誤ってしまう現象です。加算・減算・乗算などで発生しやすく、制御されないと残高計算の誤りや不正な資金移動など重大なセキュリティ問題につながる可能性があります。
実践:
➢ 安全な数学ライブラリを使用して整数演算を処理する。
➢ すべての算術演算の前後でオーバーフロー検査を追加する。
➢ 定期的にコントラクトコードを監査し、すべての整数演算が保護されていることを確認する。
6. 端数処理誤差
説明:端数処理誤差とは、数値演算における精度の制限や不適切な丸め方法により、計算結果に誤差が生じるリスクです。特に通貨や高精度数値を扱う場合、これにより資金損失や不公平な分配が発生する可能性があります。
実践:
➢ 通貨計算には高精度数値ライブラリまたは固定小数点ライブラリを使用する。
➢ 数値演算ロジックを定期的にテスト・検証し、精度が期待通りであることを確認する。
➢ コード内で明確に丸め方法を記述し、一貫性を保つ。
7. サービス拒否(DoS)
説明:DoSリスクとは、スマートコントラクトの計算リソースを消費させたり、エラー状態を引き起こしたりして、コントラクトが正常に動作しなくなる、または無限ループに陥るリスクです。これにより正当なユーザーがコントラクトと相互作用できなくなるだけでなく、コントラクトの状態更新さえ妨げられる可能性があります。
実践:
➢ 長時間の処理を避けるため、ループ回数や再帰の深さを制限する。
➢ 重要な操作の前に残りガスを確認し、ガス不足によるトランザクション失敗を防ぐ。
➢ 定期的にコントラクトロジックをレビュー・最適化し、効率性と信頼性を確保する。
➢ 重要な操作はイベントログに記録し、障害時のトラブルシューティングや復旧を容易にする。
8. 業務ロジック
説明:業務ロジックの脆弱性とは、スマートコントラクトがそのビジネスプロセスを実装する際に生じる設計上の欠陥や実装ミスであり、特定の条件下で異常な動作を引き起こす可能性があります。悪意あるユーザーがこれを悪用し、資金損失・データ改ざん・機能停止などの深刻な結果を招く恐れがあります。この種の脆弱性は単なるコーディングミスではなく、業務要件やプロセスの誤解または不十分な実装に起因することが多いです。
実践:
➢ 業務要件を深く理解・分析し、ロジック設計が正しいことを確認する。
➢ 定期的にコード監査とロジック検証を行い、早期に脆弱性を発見・修正する。
➢ すべての可能な業務シナリオを網羅する包括的なテストケースを作成する。
上記のセキュリティ実践により、スマートコントラクトの安全性を大幅に向上させ、リスクを低減し、コントラクトの安定稼働とユーザーの資金安全を確保できます。
4.2 TONエコシステムのセキュリティインシデントの振り返り
2024年、TONエコシステムでは複数のセキュリティインシデントが発生し、そのセキュリティ面での課題が浮き彫りになりました。以下にいくつかの重要な事例について、詳細な説明、原因分析、影響、解決策を示し、代表的なセキュリティ脆弱性を整理します。
1. あるプロトコルのステーキングコントラクトが攻撃され、大量のトークンが失われた
発生日時:2024年5月22日
損失額:/
根本原因:パラメータ設定ミス
説明:
TONエコシステムの繁栄を祝うステーキングイベントの後、プロトコルのパラメータ設定ミスにより、あるプロトコルのステーキングコントラクトがハッカーに攻撃され、コントラクト内の大量のトークンが盗まれました。事件発生後、プロジェクトチームは直ちにステーキング報酬の受け取り機能を停止し、失われた307,264個のトークンを買い戻すために大量の$USDTを配布しました。
攻撃発生後、同プロジェクトチームはTonBitに直ちに監査を依頼しました。TonBitは専門性を発揮し、迅速に対応し、セキュリティ専門家チームを結集して、プロジェクトのコアコードに対して包括的かつ細部にわたるセキュリティ監査を実施しました。TonBitのセキュリティ専門家は6件の低リスク問題を発見し、プロジェクトチームと詳細なコミュニケーションを行いました。豊富な経験と専門的な技術力により、TonBitは問題の具体的な解決策を提示するだけでなく、チームがすべての問題を迅速に修正するのを支援し、コントラクトの安全性と安定性を確保しました。
TonBit監査で発見された設定関連のissue:
解決策:パラメータ設定の修正
2. ハッカーがウォレットの表示されるコメント情報を操作し、ユーザーを欺いた
発生日時:2024年5月10日
損失額:22,000 TON
根本原因:ウォレットの取引時に表示されるコメント情報がユーザーを誤解させる可能性がある
説明:
Tonでtransfersメッセージを処理する際、注釈(comment)を追加することは可能ですが、一部のウォレットアプリはこれらの注釈を表示する際のUIデザインに潜在的な誤解を招くリスクがありました。この設計上の欠陥をハッカーが悪用し、transfersメッセージの注釈内容を操作することで、取引中にユーザーに虚偽の情報を表示し、詐欺行為を実行、ユーザーの誤操作を誘導して資金を失わせました。
解決策:
この問題を解決するため、ウォレットアプリはこれらの情報を表示する際に目立つ注意書きを追加し、ユーザーにこれらの内容が信頼できないことを知らせる必要があります。また、ウォレット開発チームはUIデザインを改善し、取引情報の透明性と信頼性を確保すべきです。同時に、ユーザー自身も識別能力を高め、怪しい取引情報を警戒する必要があります。
さらなる対策:
TonBitは、ウォレット開発チームが取引注釈情報を表示する際に、ソース検証などの多層的な検証メカニズムを導入することを提案します。これにより情報の信頼性が確保されます。また、定期的なユーザーエデュケーションを実施し、セキュリティ注意喚起を発信することで、ユーザーが潜在的な詐欺行為を認識・防止できるようにすべきです。技術的手法とユーザーエデュケーションを組み合わせることで、こうしたセキュリティインシデントの発生を効果的に減らすことができます。
3. BookPadがバックドア付きコントラクトを使用し、資金を集めて逃走
発生日時:2024年4月15日
損失額:74,424 TON
根本原因:BookPadがバックドア付きコントラクトでユーザー資金を吸い上げて逃走
説明:
BookPadはオープンソースではない、バックドアを仕込んだスマートコントラクトを公開し、プリセール活動を開始しました。十分な資金を集めた後、彼らはコントラクト内のバックドアを利用して資金を引き出し、すぐに逃亡しました。
解決策:
同様の事件を再発させないため、ユーザーはプロジェクトへの投資参加前に、可能な限り多くの情報を収集し、オープンソースで厳格なセキュリティ監査を受けたプロジェクトを選ぶべきです。
TonBitはユーザーに対して以下の点に特に注意を払うことを推奨します:
1. プロジェクトのオープンソース性:スマートコントラクトコードがオープンソースであることを確認してください。これにより、独立したセキュリティ専門家がコードを検証し、隠れた脆弱性や悪意のあるコードがないことを確認できます。
2. セキュリティ監査:有名なセキュリティ監査機関による審査を受けたプロジェクトを選ぶことで、コントラクト内の潜在的脆弱性を発見・修正でき、追加の保証が得られます。
3. プロジェクト背景調査:プロジェクトチームの背景、メンバーの信頼性や過去の実績を調査してください。透明性が高く、信頼できるプロジェクトほど信頼に値します。
4. コミュニティの反応:プロジェクトに対するコミュニティのフィードバックに注目し、ディスカッションに参加して、プロジェクトの評判や潜在的リスクを把握してください。
さらなる対策:
TonBitは、TONエコシステム内にさらに厳しい規制と審査メカニズムを導入することを提案します。新規プロジェクトに対して資格審査を行い、セキュリティ基準を満たしていることを確認するのです。また、公共のコントラクトコードリポジトリを設立し、審査通過したコントラクトのみが利用可能にすることも有効です。これにより、ユーザーの資金が盗まれるリスクを大きく低減し、TONエコシステム全体のセキュリティと信頼性を向上させることができます。
5. ユーザーがTONおよびTelegram上で安全を保つ方法
TONおよびTelegramエコシステムの急速な発展に伴い、現在では3800万以上のアクティブアカウントが存在し、それに伴う注目度の高まりはより大きなリスクをもたらしています。
詐欺師や悪意ある行動者は新しく流入する初心者ユーザーを狙っており、最も安全なエコシステムであっても、警戒心を持ち、潜在的リスクを理解しておくことが不可欠です。以下に最もよく見られる詐欺手法を紹介します。
5.1 よくある詐欺手法
1. 助けて!友達・家族からの緊急要請:詐欺師が友人や家族を装い、緊急で資金を要求します。必ず本人確認を行ってください。
2. フィッシングサイト:本物のサイトを模倣した偽サイトが、ログイン情報を盗み取ります。URLを正確に確認し、出所不明のリンクをクリックしないでください。
3. 投資詐欺:暗号資産分野では非常に一般的で、高リターンを約束するものの裏付けはありません。徹底的に調査してください。信じられないほど良い話は、おそらく詐欺です。
4. 偽アンケート:アンケート参加の報酬を装い、個人情報を盗み取ります。未知のアンケート調査には詳細情報を提供しないでください。
5. 偽の求人:魅力的な求人広告が個人情報の提出、アプリのダウンロード、または費用の支払いを要求します。公式チャネルで真偽を確認してください。
6. 分類広告詐欺:偽の広告がユーザーを偽のTelegramボットへ誘導し、情報を盗み取ります。
7. ランプアンドダンプ(拉高出貨):グループで暗号資産の価格を操作して利益を得る行為で、他の人々に損失をもたらします。投資アドバイスは常に自分で調査・検証してください。
8. ロマンス詐欺:オンラインの人間関係で、詐欺師が金銭や個人情報を要求します。ネット上で知り合った人物が金銭を要求してきたら警戒してください。
5.2 Toncoinのピラミッド詐欺に注意
TelegramのTONブロックチェーンへの対応は残念ながら、不用意なユーザーを利用しようとする詐欺師を引き寄せてしまいました。以下にこの詐欺の詳細な分析を示します:
1. 誘い:詐欺師は「限定の稼げるプラン」へのリンクを、まるで友人や知人からのもののように送信します。ユーザーを非公式のTelegramボットに加入させ、それが暗号資産保管用だと嘘をつきます。
2. 投資:ユーザーは合法な手段(ウォレット、P2P市場、暗号資産取引所など)でToncoinを購入するよう指示されます。これにより、詐欺に信頼性が与えられます。購入後、ユーザーはそのToncoinを詐欺ボットに送金する必要があります。
3. アクセラレーター:被害者は別のボットで5~500 Toncoinの「アクセラレーター」を購入させられます。この段階で、ユーザーはすでに暗号資産を失っています。
4. 勧誘:詐欺師は紹介制度を宣伝し、ユーザーにプライベートTelegramグループを作らせ、友人を招待させます。1人紹介ごとに25 TONの固定報酬に加え、紹介先が購入したアクセラレーターに基づくコミッションが得られると約束します。
実際には、これは典型的なピラミッドスキームです。詐欺師だけが利益を得て、他の人々は投資元本を失います。
5.3 サイバー詐欺を回避する方法
サイバー詐欺から自分を守り、Telegramアカウントの安全を確保するには、以下の基本ステップを守ってください:
1. Telegramの二段階認証を有効にする:「設定>プライバシーとセキュリティ>二段階認証」から、アカウントに追加のセキュリティを設定してください。
2. 連絡相手を確認する:特に個人情報や資金を要求する、未承諾のメッセージには警戒してください。他の手段で送信者の身元を確認しましょう。
3. 定期的にTelegramアカウントの活動を確認する:「設定>デバイス>アクティブセッション」から、未知のデバイスやセッションがアカウントに存在しないか確認してください。
4. 怪しい活動を報告する:詐欺行為に遭遇した場合は、Telegramに通報してください。
5. すぐにお金が儲かる計画を避ける:友人や家族が勧めてきたとしても警戒してください。彼ら自身も被害者である可能性があります。
6. 不明なウォレットに暗号資産を送らない:暗号資産を送る前に、受取人の身元を常に確認し、騙されないようにしてください。
TONおよびTelegramで安全を保つには、警戒心と意識が不可欠です。一般的な詐欺手法を認識し、これらのセキュリティヒントに従うことで、資産と個人情報を守ることができます。常に情報源を確認し、「ありえないほど良い話」には疑いの目を持ち、公式チャネルでのみ取引を行うようにしてください。情報を最新に保ち、慎重に行動すれば、安心してTONとTelegramのメリットを享受でき、詐欺の犠牲になることはありません!
6. まとめ
TONを選ぶ理由は、Telegram自体が持つエコシステムの力を認識することにあります。TON上にWeb3プロジェクトを展開すれば、月間アクティブユーザー7億人を超えるTelegramの巨大なユーザーベースを活用できます。この統合は、分散型アプリケーションの繁栄にとって肥沃な土壌を提供します。TonBitは、TONエコシステムに包括的なセキュリティ保護を提供し、プロジェクトがより高いセキュリティ基準とユーザー信頼を実現できるよう支援することに尽力しています。TONエコシステムのセキュリティガードとして、TonBitは今後も継続して努力し、ブロックチェーン技術の発展に貢献してまいります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@tonbit_
