BTC $102,720.15 -0.81%
ETH $2,287.78 -5.82%
SOL $136.29 -3.08%
PEPE $0.0000093 -7.81%
SHIB $0.000010 -4.15%
BNB $632.20 -1.75%
DOGE $0.15 -4.27%
XRP $2.08 -2.15%
Cryptonews Tin tức blockchain

CertiK phát hiện rủi ro bảo mật trong ngôn ngữ Tact của TON

Tác giả
Thạch Tuấn
Tác giả
Thạch Tuấn
Bài viết theo tác giả
Lần cập nhật cuối: 
Tại sao tin tưởng Cryptonews
Trong hơn một thập kỷ qua, Cryptonews liên tục ra nhiều tin tức, bài viết về lĩnh vực tiền điện tử, được bạn đọc và các chuyên gia đón nhận rất nhiệt tình. Mục tiêu của chúng tôi là đem tới những thông tin, kiến thức hữu ích, giá trị cho bạn đọc toàn cầu. Đội ngũ tác giả, nhà phân tích của chúng tôi đều là các chuyên gia có nhiều năm kinh nghiệm về crypto, phân tích thị trường và công nghệ blockchain. Chúng tôi luôn nỗ lực duy trì, bảo đảm tiêu chuẩn biên tập, kiểm duyệt nội dung chặt chẽ, chất lượng, ưu tiên hàng đầu tính xác thực, nhưng xu hướng, tin tức cập nhật đa lĩnh vực - từ các dự án tiền điện tử tiềm năng, công nghệ blockchain đến các sự kiện, sản phẩm, những phát triển công nghệ mới trong ngành. Với bề dày lịch sử hoạt động, chúng tôi tự tin cam kết là nền tảng uy tín hàng đầu trong thế giới tài sản kỹ thuật số đang phát triển nhanh chóng. Tìm hiểu thêm về Cryptonews
Thông báo quảng cáoCung cấp thông tin chính xác, minh bạch và trung thực là nguyên tắc ưu tiên hàng đầu của chúng tôi. Một số nội dung của chúng tôi có các liên kết từ đối tác với hoa hồng đi kèm nhưng chúng tôi cam kết việc này không có ảnh hưởng tới tính minh bạch, tới chất lượng của bài viết.

Một báo cáo bảo mật mới đây đã gióng lên hồi chuông cảnh báo về Mạng mở Telegram (TON), một nền tảng blockchain nổi tiếng với cách tiếp cận thân thiện với người dùng trong việc triển khai hợp đồng thông minh.

Báo cáo này, được thực hiện bởi công ty bảo mật Web3 CertiK, nhấn mạnh những lỗ hổng tiềm ẩn trong Tact, ngôn ngữ lập trình được thiết kế dành riêng cho TON.

Mặc dù Tact được tạo ra với mục tiêu đơn giản hóa việc phát triển và tăng cường bảo mật, nhưng quá trình kiểm tra đã phát hiện ra rằng một số cách thức viết mã có thể vô tình khiến các hợp đồng thông minh gặp rủi ro.

Báo cáo chỉ ra rằng các nhà phát triển khi sử dụng Tact có thể mắc phải những sai lầm phổ biến, ví dụ như việc quản lý bộ nhớ không đúng cách hoặc không kiểm tra đầy đủ các điều kiện đầu vào. Những sơ suất này, dù nhỏ, nhưng có thể tạo ra kẽ hở cho tin tặc khai thác và tấn công các hợp đồng thông minh, gây thiệt hại về tài sản cho người dùng.

Những cạm bẫy bảo mật âm thầm trong Tact

CertiK đã tiến hành so sánh Tact với ngôn ngữ tiền nhiệm FunC và chỉ ra những lỗi thường gặp mà các nhà phát triển hay mắc phải khi sử dụng ngôn ngữ này. Những lỗi này có thể dẫn đến việc giao dịch thất bại, mất tiền và tạo ra các lỗ hổng bảo mật dễ bị khai thác.

Một trong những mối lo ngại chính được nêu bật trong báo cáo là định dạng địa chỉ nghiêm ngặt của Tact. Sự không tương thích của định dạng này với các tiêu chuẩn hiện có, chẳng hạn như TEP-74, có thể dẫn đến giao dịch thất bại hoặc mất token, giống như việc gửi thư đến địa chỉ không chính xác vậy.

CertiK cũng cảnh báo về những thách thức trong việc quản lý các hoạt động đồng thời. Mặc dù blockchain TON tránh được các lỗ hổng như tấn công tái nhập (reentrancy) thường thấy trên Ethereum, nhưng thứ tự giao dịch không thể đoán trước của nó có thể cho phép kẻ tấn công khai thác sự chênh lệch thời gian, tạo ra các lỗ hổng tương tự như tấn công người trung gian (man-in-the-middle).

Giống như việc ai đó chen ngang vào cuộc trò chuyện của bạn và đánh lừa cả hai bên, kẻ tấn công có thể lợi dụng khoảng thời gian giữa các giao dịch để đánh cắp thông tin hoặc tài sản.

Một vấn đề đáng quan tâm khác là chuỗi hóa dữ liệu (data serialization). CertiK lưu ý rằng các nhà phát triển cần phải tổ chức dữ liệu một cách rõ ràng trong các hợp đồng thông minh.

Việc không làm như vậy có thể dẫn đến việc dữ liệu bị hiểu sai và chương trình hoạt động không thể đoán trước, giống như việc lắp ráp đồ nội thất với hướng dẫn không đầy đủ vậy. Bạn sẽ gặp rất nhiều khó khăn và có thể lắp ráp sai, dẫn đến sản phẩm cuối cùng không sử dụng được.

Báo cáo cũng nhấn mạnh các lỗi tiềm ẩn trong cách Tact xử lý số, điều này có thể dẫn đến sự cố nếu các nhà phát triển không cảnh giác. Hãy hình dung việc bạn tính toán số tiền cần thanh toán, nhưng do lỗi hệ thống mà con số bị sai lệch, dẫn đến việc bạn phải trả nhiều hơn hoặc nhận lại ít hơn.

Ngoài ra, CertiK cũng nhấn mạnh tầm quan trọng của việc quản lý gas, phí cần thiết để thực hiện các giao dịch blockchain. Việc ước tính và kiểm soát việc sử dụng gas không đúng cách của các nhà phát triển có thể khiến giao dịch bị thất bại giữa chừng hoặc có khả năng rút hết tiền từ hợp đồng.

Tình hình an ninh tiền điện tử năm 2024: Hơn 1,5 tỷ USD bốc hơi

Bên cạnh những lỗ hổng trong ngôn ngữ Tact của TON, toàn bộ hệ sinh thái tiền điện tử vẫn đang phải đối mặt với những thách thức bảo mật đáng kể. Giống như một thành phố rộng lớn, dù có những khu vực được bảo vệ nghiêm ngặt, nhưng vẫn tồn tại những góc khuất tiềm ẩn nguy hiểm.

Theo báo cáo của Immunefi, một công ty chuyên về bảo mật blockchain, gần 1,5 tỷ USD đã bị đánh cắp trong các vụ việc liên quan đến tiền điện tử trong năm 2024.

Con số này tuy đã giảm 15% so với năm trước, nhưng vẫn là một hồi chuông cảnh báo về tình trạng an ninh trong lĩnh vực này. Hãy thử tưởng tượng, số tiền bị đánh cắp đủ để xây dựng một bệnh viện hiện đại hay một trường học khang trang!

Chỉ riêng trong tháng 11, đã có hơn 71 triệu USD tài sản kỹ thuật số bốc hơi, nâng tổng số tiền bị đánh cắp từ đầu năm lên tới hơn 1,48 tỷ USD, trải dài trên 209 vụ việc. Mỗi vụ việc là một câu chuyện buồn, phản ánh những lỗ hổng bảo mật và sự tinh vi của các hacker.

Một trong những vụ việc đáng chú ý trong tháng 11 liên quan đến DEXX, một nền tảng giao dịch meme coin. DEXX đã bị rò rỉ khóa riêng tư, ảnh hưởng đến ít nhất 900 người dùng. Hầu hết người dùng bị mất dưới 10.000 USD, nhưng có một người dùng phải chịu thiệt hại lên tới hơn 1 triệu USD.

Cũng trong tháng 11, Delta Prime, một giao thức DeFi hoạt động trên Avalanche và Arbitrum, đã trải qua vụ tấn công thứ hai trong năm. Vụ việc này khiến Delta Prime thiệt hại 4,8 triệu USD, sau vụ hack 6 triệu USD hồi tháng 9. Điều này cho thấy, ngay cả những dự án lớn và có kinh nghiệm cũng không tránh khỏi sự nhòm ngó của hacker.

Những vụ tấn công này là lời nhắc nhở cho toàn bộ cộng đồng tiền điện tử về tầm quan trọng của việc nâng cao nhận thức bảo mật và áp dụng các biện pháp phòng ngừa cần thiết.

Cơ quan quản lý hàng đầu Hàn Quốc công bố lộ trình phê duyệt ETF tiền điện tử giao ngay
2025-06-20 09:33:27
Sàn giao dịch lớn nhất bị tấn công, Iran siết chặt hoạt động crypto trong nước
2025-06-20 03:25:53
Cathie Wood’s ARK bán thêm 45 triệu USD cổ phiếu Circle
2025-06-19 07:49:15
Đào coin trái phép giữa lòng khu công nghiệp, trang trại 30.000 m² ở Nga bị lộ tẩy
2025-06-19 02:28:53
Binance dẫn đầu về lượng nạp altcoin và stablecoin trên Ethereum và TRON
2025-06-18 08:07:41
Nghị sĩ Brazil đề xuất bãi bỏ thuế tiền điện tử cho nhà đầu tư dài hạn
2025-06-18 06:40:59
Người dùng hàng ngày trên XRP Ledger tăng gấp 7 lần lên 295K
2025-06-17 08:09:31

Đừng bỏ lỡ

Tin Tức Altcoin
Cơ quan quản lý hàng đầu Hàn Quốc công bố lộ trình phê duyệt ETF tiền điện tử giao ngay
Thạch Tuấn
Thạch Tuấn
2025-06-20 09:33:27
Tin tức blockchain
Sàn giao dịch lớn nhất bị tấn công, Iran siết chặt hoạt động crypto trong nước
Thạch Tuấn
Thạch Tuấn
2025-06-20 03:25:53
Thạch Tuấn
Đọc Thêm
Crypto News in numbers
editors
Danh sách Tác giả Hơn 66+
2M+
Người Dùng Thường Xuyên Hàng Tháng
250+
Bài Hướng Dẫn và Đánh Giá Chuyên Sâu
8
Năm Lịch Sử Hoạt Động
70
Team Viết Bài Toàn Cầu