H1 2025: все запланированное — выполнено.

Отчет: https://telegra.ph/TON-Core---Report-for-2025-H1-08-03

⚠️ Атака на популярные NPM-пакеты — технические детали

Кратко

Несколько часов назад взломщики получили доступ к некоторым NPM-аккаунтам и опубликовали заражённые версии популярных библиотек.

Множество веб-продуктов используют эти пакеты.

Хотя продукты TON, судя по всему, не в опасности, разработчикам мультичейн-продуктов стоит проверить свой код, особенно если вы сегодня что-то релизили.

Список скомпрометированных версий:

• ansi-styles@6.2.2
• debug@4.4.2
• chalk@5.6.1
• supports-color@10.2.1
• strip-ansi@7.1.1
• ansi-regex@6.2.1
• wrap-ansi@9.0.1
• color-convert@3.1.1
• color-name@2.0.1
• is-arrayish@0.3.3
• slice-ansi@7.1.1
• color@5.0.1
• color-string@2.1.1
• simple-swizzle@0.2.3
• supports-hyperlinks@4.1.1
• has-ansi@6.0.1
• chalk-template@1.1.1
• backslash@0.2.1

Важно: только эти конкретные версии заражены. Все более ранние и более новые версии считаются безопасными.

Что делают заражённые пакеты

• Подменяют адреса крипто-кошельков.

• Перехватывают и перенаправляют крипто-трaнзакции в продуктах, которые используют эти пакеты.

Под ударом блокчейны: Ethereum, Bitcoin, Bitcoin Cash, TRON, Litecoin, Solana.

Блокчейн TON в список не входит.

Ваш веб-продукт в зоне риска, если:

• Он работает с Ethereum, Bitcoin, Bitcoin Cash, TRON, Litecoin, Solana.

и

• Вы собирали его пару часов назад;

или

• Ваши зависимости подгружаются динамически, без фиксированной версии (лучше никогда так не делайте).

Как проверить

В package-lock.json поищите версии и пакеты из списка выше.

Если версия хотя бы одного из указанных пакетов совпадает со скомпрометированной — значит, проект заражён.

Как исправить

Для всех пакетов уже опубликованы исправления либо откат на предыдущую версию.

Сделайте npm install и пересоберите проект.

Источники

https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

https://github.com/chalk/chalk/issues/656#issuecomment-3266900029

https://github.com/debug-js/debug/issues/1005#issuecomment-3266868187

https://github.com/advisories/GHSA-8mgj-vmr8-frr6

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

В этом году мы расширили команду C++ разработчиков ядра в TON Core:

🥷 Евгений

Более 10 лет опыта в разработке блокчейнов, включая работу над консенсусом и криптографией.

— Первое место в мировых финалах ICPC 2009 и 2012 годов.

— Отличные результаты в других соревнованиях, включая Google Code Jam, Meta Hacker Cup и TopCoder Open.

🥷 Олег

Инженер и исследователь в области распределенных баз данных.

— Победитель TON x CodeForces Contest.
— Бронзовая медаль в финале ICPC World Finals 2020.
— Высший рейтинг Grandmaster на Codeforces.
— Результаты в других соревнованиях, включая IEEExtreme, Google Hash Code, Microsoft BubbleCup Finals.

🥷 Вадим

Специализируется на многопоточности, работе с базами данных и кластерами.

— Победитель конкурса TON Validation Contest и TON Smart Challenges.
— Второе место в Yandex Cup 2024 Backend.

🥷 Данил (20 лет!)

MIT

— Победитель TON Validation Contest.
— Золотая медаль Международной олимпиады по информатике 2022.
— Золотая медаль Азиатско-Тихоокеанской олимпиады по информатике 2022.
— Золотая медаль Romanian Master of Informatics 2021.
— Золотая медаль Международного осеннего турнира по информатике 2021.

Команда TON Core работает над тем, чтобы операции в блокчейне TON выполнялись быстрее 1 секунды — без снижения децентрализации и масштабируемости.

Мы расширили команду ядра и продолжаем реализовывать roadmap оптимизаций, опубликованный и частично выполненный ранее в этом году. Впереди — крупные обновления L1 и API.

Планируем показать результаты в основой сети TON уже в первой половине следующего года.

Команда TON Core была рада помочь Chainlink с технической интеграцией их продукта в TON.

Смарт-контракты Chainlink написаны на нашем новом языке Tolk.

Параллельно мы внесли свой вклад в подготовку еще трех крупных и ожидаемых релизов — все с буквой «C» в конце или начале.

Новичкам в Tolk может понравиться этот доклад.

Александр Кирсанов — автор языка — делится ключевыми идеями Tolk, рассказывает, как язык развивался, и показывает, чем Tolk отличается от FunC.

Записано этим летом.

https://www.youtube.com/watch?v=QunzOeV2kT0

Возможно, многие упустили важный анонс Павла Дурова во время презентации Cocoon.

Говоря о TON:

«Конечно, все это [Cocoon] сделано на TON. Это наш любимый блокчейн. Мы сделали много всего на блокчейне TON. Все наши цифровые коллекционные предметы на TON: юзернеймы, номера, подарки. Все выплаты разработчикам и создателям используют TON. И есть большой план действий. Я думаю, что Telegram будет играть более активную роль в развитии основной технологии TON. В следующем году я сделаю несколько громких объявлений».

Английский текст:

«… of course, all of it [Cocoon] is built on TON. It’s our favorite blockchain. We built a lot of things on top of it. All our digital collectibles are built on top of TON: the usernames, the numbers, the gifts — everything. All the payouts to developers and digital creators are also done using TON. And there is a big roadmap. I think Telegram will be taking a more active role in developing the core technology of TON. There’ll be some exciting announcements I’ll be making next year».

Вижу, что вокруг BTC Teleport появляется разная информация, поэтому хочу немного прояснить.

Проект не относится ни ко мне лично, ни к TON Core — это инициатива команды разработчиков RSquad и TON Foundation.

Со своей стороны мы поддержали проект технически и консультационно и будем рады увидеть его успешный запуск.

Сейчас я и команда большую часть времени сосредоточены на обновлении базовой технологии TON — с целью добиться выполнения операций в блокчейне быстрее одной секунды при сохранении масштабируемости, децентрализации и безопасности.

Технические детали — в следующих публикациях.

Параллельно мы выпускаем регулярные сервисные обновления ядра (TON 2025.10, 2025.11, 2025.12), направленные на поддержание стабильности и безопасности блокчейна. В рамках этих релизов шаг за шагом внедряются и оптимизации — сжатие трафика, параллельная валидация блоков и другие улучшения.

Мы также развиваем инструменты для разработчиков: Tolk получил версии 1.1 и 1.2, была обновлена документация Tolk, вышла TVM 12. В работе — новый набор инструментов для Tolk, включая хорошую поддержку ИИ-агентов для написания смарт-контрактов под TON.

Обеспечили техническую поддержку большинства ключевых интеграций этого года, включая Gemini, Coinbase и Chainlink, а также ряда пока не анонсированных проектов, в том числе в области стейблкойнов.

Команда работает в полном составе, и в течение года были усилены как команда ядра, так и команда, отвечающая за инструменты разработчиков.

2026

Блокчейн-индустрия живёт циклами и трендами.

Это нормально для молодой технологии. По мере того как она глубже входит в повседневную жизнь людей, эта зависимость будет ослабевать.

Сейчас — очередной спад. За время моей работы над TON это уже третья "крипто-зима". Это если считать первый год работы когда Toncoin еще не существовал и ничего не стоил.

Каждый раз кажется, что хорошие релизы проходят незамеченными. Но фундаментальная технология работает не в моменте. Все сделанные релизы начинают играть роль во время следующего подъёма.

Мы закончили этап исследований и разработки по задаче ускорения операций в блокчейне TON.

Цель — сделать так, чтобы операции занимали меньше одной секунды, не жертвуя масштабируемостью, безопасностью и децентрализацией.

В результате мы нашли три направления, которые вместе дают нужный эффект.

1. Базовый уровень (L1)

Главное изменение — новый консенсус Catchain 2.0.

Он заменяет текущую связку Catchain + BCP и основан на современных протоколах Simplex и Alpenglow, адаптированных под TON.

Проще говоря, это то, как валидаторы договариваются между собой и принимают новые блоки.

С новым консенсусом финализация блока занимает 200–400 миллисекунд вместо ~2.5 секунд раньше — при том же уровне безопасности.

Говоря о безопасности — дополнительный плюс этих протоколов в том, что они хорошо известны, а значит их проще аудировать.

Второе важное изменение — новый сетевой протокол рассылки блоков (two-step broadcast).

Мы сократили время доставки блока между узлами по сети примерно с 700 миллисекунд до ~100 миллисекунд.

Также были сделаны дополнительные оптимизации в C++ реализации узла TON:

— сжатие блоков при передаче,

— параллельная валидация,

— обмен данными между валидаторами не только через RLDP2, но и по TCP или QUIC. По результатам тестов возможен переход на один из этих протоколов.

Параллельно мы доработали внутренние инструменты статистики, бенчмарков и замеров для блокчейна и API.

2. API

Оптимизировали Toncenter API. Теперь статус операции через Streaming API V2 приходит с задержкой 30–100 миллисекунд.

Кроме того, появилось больше статусов операций:

confirmed — блок появился в шардчейне,

finalized — блок принят в мастерчейне.

Раньше был только один статус — finalized.

3. UX

Операция со статусом confirmed имеет менее 1% вероятности отката, поэтому приложения могут показывать её пользователю сразу, не заставляя ждать.

Пользователь сразу может продолжать делать следующие операции, а позже приложение просто отметит, что операция окончательно финализирована.

По сути, это аналог подтверждений блоков в других блокчейнах: операция видна после первого блока, а полная финализация наступает позже.

Это хорошее дополнение к моментальным pending-операциям, которые мы сделали в UX-обновлении прошлого года.

Все части по отдельности уже готовы. Сейчас мы собираем их воедино и далее начинаем тестирование в тестовой сети TON.

Обновили тестовую сеть TON. Обратите внимание на скорость операций.

Далее — тестирование и подготовка к обновлению основной сети TON.

Отдельная благодарность командам mytonwallet.app и tonscan.org за быструю интеграцию новых технологий.

При этом прежние архитектурные преимущества TON сохранены: включая превосходство в масштабируемости и пропускной способности и фиксированные сетевые комиссии, не зависящие от нагрузки в сети.