Skip to main content

ton-vulnerability-scanner

ton-vulnerability-scanner

Catalogue généré le 2026-05-11

En une phrase

ScansScanne les smart contracts TON (The Open Network)Network, smartla contractsblockchain forde Telegram) écrits en FunC pour repérer 3 criticaltypes vulnerabilitiesde includingfailles integer-as-booleancritiques misuse,liées fakeà Jettonla contracts,validation andde forwardl'expéditeur, TONaux withoutdépassements gasarithmétiques checks.et à la gestion du gas.

Quand l'utiliser

  • UseQuand whentu auditingauditeras un contrat TON ou Jetton (le standard de token sur TON).
Avant de déployer un contrat FunC contracts.en prod sur le mainnet TON. Quand le projet implique un wallet TON ou un système de notifications de transfert (un piège classique : croire qu'un message vient du vrai contrat Jetton alors qu'il vient d'un faux). Pour vérifier que les opérations privilégiées (mint, burn, withdraw) valident bien le sender. Quand tu transfères du TON entre contrats et que tu veux t'assurer que le gas est correctement réservé pour éviter que la transaction échoue à mi-chemin.

Comment l'invoquer

  • Slash command : /ton-vulnerability-scanner (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"audit lamy descriptionTON complètecontract" ci-dessous/ "check FunC contract" / "scan Jetton implementation"
  • Auto-invocation : surSur demande explicite (généralement lors d'un audit).

Description complètedétaillée

ScansTON est la blockchain associée à Telegram, avec une architecture très différente d'Ethereum (modèle asynchrone à base de messages). Les contrats sont en FunC, un langage bas niveau. Les bugs TON (Theles Openplus Network)courants smartsont contractsliés forà la nature "message-passing" : un contrat reçoit un message et doit vérifier qui l'envoie, sinon n'importe qui peut déclencher des actions privilégiées.

Ce skill cherche 3 criticalpatterns vulnerabilitiescritiques including: integer-as-boolean1) misuse,Missing fakeSender Check (le contrat ne vérifie pas l'adresse de l'expéditeur — quelqu'un peut appeler une fonction admin), 2) Integer Overflow (l'arithmétique FunC déborde silencieusement si non vérifiée — perte ou création de tokens), 3) Improper Gas Handling (mauvaise réservation de gas lors d'un send_raw_message — la transaction échoue à mi-parcours et laisse des états incohérents).

Il regarde aussi les pièges Jetton contracts,: andun forwardfaux TONcontrat withoutJetton gaspeut checks.envoyer Useun whenmessage auditingtransfer_notification FunCpour contracts.piéger un contrat naïf. Le workflow : tu pointes le dossier contracts/ avec tes .fc, le skill analyse et te liste les findings avec recommandations.

Pour aller plus loin

TON

Pour Vulnerabilityles Scannerdétails

1.techniques Purpose

Systematically scan TON blockchain smart contracts written in FunC for platform-specific security vulnerabilities related to boolean logic, Jetton token handling, and gas management. This skill encodes 3 critical vulnerability (patterns uniqueFunC, toexemples TON'sJetton, architecture.

recommandations

2.de When to Use This Skill

    Auditing TON smart contracts (FunC language) Reviewing Jetton token implementations Validating token transfer notification handlers Pre-launch security assessment of TON dApps Reviewing gas forwarding logic Assessing boolean condition handling

    3. Platform Detection

    File Extensions & Indicators

      FunC files: .fcgas), .func

      Language/Framework Markers

      Project Structure

        contracts/*.fc - FunC contract source wrappers/*.ts - TypeScript wrappers tests/*.spec.ts - Contract tests ton.config.ts or wasm.config.ts - TON project config

        (extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.

        Source

        • Plugin : trailofbits/building-secure-contracts
        • Nom interne : ton-vulnerability-scanner
        • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/ton-vulnerability-scanner/SKILL.md