欧易数字货币交易所 更快、更好、更强

2025年5月9日，据BitsLab旗下安全团队TonBit披露，他们在Telegram开放网络（TON）生态中的核心组件——TON虚拟机（TVM）中发现了一个新的高危漏洞。该漏洞源于TVM中RUNVM指令在状态迁移过程中的设计缺陷，可能对智能合约的执行安全造成严重影响。

根据TonBit的详细说明，漏洞触发机制涉及虚拟机gas资源耗尽的临界时刻。攻击者可在此时精确构造交易，操纵TVM执行过程中的关键库资源，从而对系统库进行破坏或卸载操作。由于TON智能合约高度依赖这些库模块，一旦其完整性被破坏，所有后续调用相关模块的合约逻辑都将异常或完全失效。

这类攻击行为不仅可能造成某一合约功能瘫痪，还可能在更广泛的生态范围内引发级联风险，特别是在存在共享库或模块化架构的合约体系中。TonBit强调，攻击者无需完全控制目标合约，只需消耗其gas至某个临界点，即可影响其执行路径，这是该漏洞的危险之处。

安全团队已将漏洞详情和修复建议第一时间提交至TON基金会，并在过去数日中协助基金会完成了漏洞验证、环境重现与修复补丁测试等关键工作。目前，TON基金会已经完成初步修复方案的部署，预计将很快面向开发者社区发布相关安全更新补丁。

TonBit还建议所有TON生态开发者在等待官方补丁发布的同时，采取以下预防措施：首先，在合约部署阶段增强对gas使用的监控和限制，确保在临界gas状态下合约能优雅地中断执行；其次，增加对关键库的完整性校验机制，避免外部调用时依赖不可信环境状态；最后，尽可能使用基金会推荐的标准化库，以降低个体项目遭受攻击的可能性。

此次事件再次敲响了Web3生态安全的警钟。在去中心化、模块化不断深化的背景下，虚拟机作为智能合约运行的基础设施，其安全性已成为整个链上生态稳定运行的关键环节。TVM是TON生态系统的核心虚拟执行环境，其设计安全性不仅直接关系到合约正确性，也关系到整个链的信任基础。

值得关注的是，TON基金会在漏洞处理过程中展现了较强的响应能力与修复效率，这有助于维护开发者社区的信心。但从长远来看，加强安全审计流程、提高虚拟机架构的容错能力以及完善异常状态下的恢复机制，仍将是TON生态今后持续优化的重要方向。

面对Web3日益复杂的攻击面，合约开发者、基础设施提供者及基金会组织三方之间的协作将愈发重要。此次TVM漏洞的发现与及时响应，或将成为未来去中心化开发与安全治理协同的一个典范案例。