# ton-vulnerability-scanner

# ton-vulnerability-scanner

> _Catalogue généré le 2026-05-11_

## En une phrase

Scanne les smart contracts TON (The Open Network, la blockchain de Telegram) écrits en FunC pour repérer 3 types de failles critiques liées à la validation de l'expéditeur, aux dépassements arithmétiques et à la gestion du gas.

## Quand l'utiliser

- Quand tu auditeras un contrat TON ou Jetton (le standard de token sur TON).
- Avant de déployer un contrat FunC en prod sur le mainnet TON.
- Quand le projet implique un wallet TON ou un système de notifications de transfert (un piège classique : croire qu'un message vient du vrai contrat Jetton alors qu'il vient d'un faux).
- Pour vérifier que les opérations privilégiées (mint, burn, withdraw) valident bien le sender.
- Quand tu transfères du TON entre contrats et que tu veux t'assurer que le gas est correctement réservé pour éviter que la transaction échoue à mi-chemin.

## Comment l'invoquer

- **Slash command** : `/ton-vulnerability-scanner`
- **Phrases déclencheurs (texte)** : "audit my TON contract" / "check FunC contract" / "scan Jetton implementation"
- **Auto-invocation** : Sur demande explicite (généralement lors d'un audit).

## Description détaillée

TON est la blockchain associée à Telegram, avec une architecture très différente d'Ethereum (modèle asynchrone à base de messages). Les contrats sont en FunC, un langage bas niveau. Les bugs TON les plus courants sont liés à la nature "message-passing" : un contrat reçoit un message et doit vérifier qui l'envoie, sinon n'importe qui peut déclencher des actions privilégiées.

Ce skill cherche 3 patterns critiques : 1) **Missing Sender Check** (le contrat ne vérifie pas l'adresse de l'expéditeur — quelqu'un peut appeler une fonction admin), 2) **Integer Overflow** (l'arithmétique FunC déborde silencieusement si non vérifiée — perte ou création de tokens), 3) **Improper Gas Handling** (mauvaise réservation de gas lors d'un `send_raw_message` — la transaction échoue à mi-parcours et laisse des états incohérents).

Il regarde aussi les pièges Jetton : un faux contrat Jetton peut envoyer un message `transfer_notification` pour piéger un contrat naïf. Le workflow : tu pointes le dossier `contracts/` avec tes `.fc`, le skill analyse et te liste les findings avec recommandations.

## Pour aller plus loin

Pour les détails techniques (patterns FunC, exemples Jetton, recommandations de gas), consulter le SKILL.md original à `/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md` et la ressource `resources/VULNERABILITY_PATTERNS.md`.

## Source

- **Plugin** : `trailofbits/building-secure-contracts`
- **Nom interne** : `ton-vulnerability-scanner`
- **Fichier** : `/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md`