ton-vulnerability-scanner
ton-vulnerability-scanner
Catalogue généré le 2026-05-11
En une phrase
ScansScanne les smart contracts TON (The Open Network)Network, smartla contractsblockchain forde Telegram) écrits en FunC pour repérer 3 criticaltypes vulnerabilitiesde includingfailles integer-as-booleancritiques misuse,liées fakeà Jettonla contracts,validation andde forwardl'expéditeur, TONaux withoutdépassements gasarithmétiques checks.et à la gestion du gas.
Quand l'utiliser
UseQuandwhentuauditingauditeras un contrat TON ou Jetton (le standard de token sur TON).
Comment l'invoquer
- Slash command :
/ton-vulnerability-scanner(si exposé dans ton CLI) - Phrases déclencheurs (texte) :
voir"auditlamydescriptionTONcomplètecontract"ci-dessous/ "check FunC contract" / "scan Jetton implementation" - Auto-invocation :
surSur demande explicite (généralement lors d'un audit).
Description complètedétaillée
ScansTON est la blockchain associée à Telegram, avec une architecture très différente d'Ethereum (modèle asynchrone à base de messages). Les contrats sont en FunC, un langage bas niveau. Les bugs TON (Theles Openplus Network)courants smartsont contractsliés forà la nature "message-passing" : un contrat reçoit un message et doit vérifier qui l'envoie, sinon n'importe qui peut déclencher des actions privilégiées.
Ce skill cherche 3 criticalpatterns vulnerabilitiescritiques including: integer-as-boolean1) misuse,Missing fakeSender Check (le contrat ne vérifie pas l'adresse de l'expéditeur — quelqu'un peut appeler une fonction admin), 2) Integer Overflow (l'arithmétique FunC déborde silencieusement si non vérifiée — perte ou création de tokens), 3) Improper Gas Handling (mauvaise réservation de gas lors d'un send_raw_message — la transaction échoue à mi-parcours et laisse des états incohérents).
Il regarde aussi les pièges Jetton contracts,: andun forwardfaux TONcontrat withoutJetton gaspeut checks.envoyer Useun whenmessage auditingtransfer_notification FunCpour contracts.piéger un contrat naïf. Le workflow : tu pointes le dossier contracts/ avec tes .fc, le skill analyse et te liste les findings avec recommandations.
Pour aller plus loin
TON
Pour Vulnerabilityles Scannerdétails
1.techniques Purpose
Systematically scan TON blockchain smart contracts written in FunC for platform-specific security vulnerabilities related to boolean logic, Jetton token handling, and gas management. This skill encodes 3 critical vulnerability (patterns uniqueFunC, toexemples TON'sJetton, architecture.
2.de When to Use This Skill
3. Platform Detection
File Extensions & Indicators
.fcgas), .funcLanguage/Framework Markers
Project Structure
contracts/*.fcwrappers/*.tstests/*.spec.tston.config.tswasm.config.ts(extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.
Source
- Plugin :
trailofbits/building-secure-contracts - Nom interne :
ton-vulnerability-scanner - Fichier :
/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md