elsvv/ton-best-practices-skill

# TON 最佳实践 用于 TON 区块链智能合约安全审计、开发和最佳实践的 Claude Code skill。 **语言**：Tolk v1.2 / TVM 12 **基于**：来自 34 次专业审计的 233 个漏洞 + 完整 Tolk 文档 + 来自 tolk-bench 的 42 个生产合约 ## 安装 ``` npx skills add elsvv/ton-best-practices-skill ``` ## 包含内容 | 文件 | 内容 | |------|----------| | `SKILL.md` | 入口点 — Top 10 漏洞、快速检查清单、TON vs EVM 对比 | | `tolk-security.md` | 30 个 Tolk 特定的安全陷阱，包含易受攻击/正确代码示例 | | `tolk-best-practices.md` | 来自生产合约的 16 节 Tolk 语言最佳实践 | | `vulnerabilities.md` | 完整的 233 个漏洞目录及 Tolk 代码示例 | | `tvm-async.md` | TVM 内部机制、异步模型、BounceMode 指南 (Tolk 1.2 / TVM 12) | | `audit-checklist.md` | 11 阶段专业审计检查清单 (阶段 0 = Tolk 配置) | ## 核心主题 - **Top 10 漏洞**：权限检查、整数溢出、异步重入、延迟加载绕过、联合类型分发、消息模式、反序列化、空值断言、bounce 处理、gas 耗尽 - **Tolk 1.2 特性**：`BounceMode.RichBounce` (完整 bounce body 恢复)、`address` 仅内部验证、借用检查器 - **异步模型**：carry-value 模式、bounce 处理器、多消息竞态条件 - **访问控制**：可空管理员模式、两步所有权转移、工作链验证 - **Gas 管理**：费用估算、预留模式、out-of-gas 处理 ## 触发关键词 `Tolk`, `TVM`, `TVM 12`, `TON contract`, `jetton`, `NFT TON`, `TON audit`, `bounce message`, `smart contract security`, `TON blockchain` ## 来源 - [PositiveSecurity/ton-audit-guide](https://github.com/PositiveSecurity/ton-audit-guide) - [arXiv:2509.10823](https://arxiv.org/abs/2509.10823) — "From Paradigm Shift to Audit Rift" (233 个漏洞, 34 次审计) - [docs.ton.org Tolk docs](https://docs.ton.org/languages/tolk/overview) — 完整 Tolk 文档 - [tolk-bench](https://github.com/ton-blockchain/ton) — 42 个生产级 Tolk 合约 - GitHub PR [#1741](https://github.com/ton-blockchain/ton/pull/1741), [#1795](https://github.com/ton-blockchain/ton/pull/1795), [#1886](https://github.com/ton-blockchain/ton/pull/1886) — Tolk 1.0 / 1.1 / 1.2 更新日志

标签：Claude Code 技能, DNS 反向解析, ELSVV, Gas 优化, Jetton, NFT, Streamlit, Tolk 语言, TON 区块链, TVM 虚拟机, Web3 安全, 云安全监控, 区块链安全, 去中心化应用, 安全最佳实践, 安全检查清单, 异步编程, 整数溢出, 智能合约审计, 漏洞库, 访问控制, 重入攻击, 静态分析