关键信息 漏洞概述 CVE ID: CVE-2025-70957 漏洞类型: 通过未计量的继续跳跃导致的CPU耗尽 摘要: TVM(Ton虚拟机)允许外部调用者注入精心设计的、深嵌套的 对象(特别是利用 作为参数)时,会出现由于执行标准的 指令形成的气体计算与实际CPU使用量之间的差异,而在解析和执行额外的连续对象时,这些消耗并没有被计算在内。 影响的产品: 供应商:TON基金会 产品: TON Lite Server 版本: 所有低于v2024.10的版本 解决方案和补丁: 厂商已发布新的版本修复该漏洞 修复提交: https://github.com/ton-blockchain/ton/commit/e35b34de22109596a54d1357dcce92d63002ba95 参考资料 官方发布: https://github.com/ton-blockchain/ton/releases/tag/v2024.10 原始分析(中文): https://mp.weixin.qq.com/s/KT4RKNey_mjU2kBWpGTjuw 分析(英文): https://www.tonbit.xyz/blog/post/Exclusive-Interview-with-TonBit-Under-BitsLab-Continuously-Safeguarding-the-TON-Ecosystem-with-Innovation-and-Expertise.html