Autor: Keystone Chinese

Od letošního roku se TON (The Open Network) těší velké pozornosti. Jako veřejný řetězec hluboce svázaný s Telegramem má obrovskou uživatelskou základnu a efekt vytváření bohatství nových projektů nutí uživatele vstoupit do ekosystému TON a najít si svou vlastní Alfu.

Jak se říká: Kde jsou lidé, tam jsou řeky a jezera Pokud existuje veřejný řetězec s provozem, hackeři přijdou jako žraloci páchnoucí krví. Jako veřejný řetězec, jehož technické vlastnosti se liší od EVM, nelze při interakci s TON dodržovat bezpečnostní návyky EVM.

Jako výrobce hardwarových peněženek, který aktivně podporuje integraci s ekosystémem TON, jsme sestavili několik bezpečnostních návrhů, které každému pomohou bezpečně přijmout ekosystém TON. 🤗

1. Vyberte si správnou peněženku

Vzhledem k různým technickým implementacím EVM peněženky, na které jsou všichni zvyklí jako Metamask, Rabby atd., v současné době nepodporují TON, takže musíme nainstalovat jinou peněženku, která TON podporuje.

V tuto chvíli je pro nás peněženka s vysokou bezpečností velmi důležitá Můžeme vyhodnotit, která peněženka je pro nás vhodnější z hlediska toho, zda je peněženka open source a zda podporuje hardwarové peněženky jsou informace o transakci peněženky komplexní a na místě?

Když jsem například čelil phishingové webové stránce na TON, když chtěl hacker převést určitá aktiva v mé peněžence, výsledky analýzy transakcí softwaru peněženky OpenMask a TonKeeper @tonkeeper byly velmi odlišné, jak ukazuje obrázek níže:

Z pohledu OpenMask se jedná o normální transakci „příjem airdrop“, ale je tomu skutečně tak?

U stejné transakce Tonkeeper analyzoval a ukázal nám více informací. Zdálo se, že phishingový web se pokoušel ukrást tokeny FISH v peněžence a Tonkeeper úspěšně odhalil chování hackera.

Pro srovnání, kterou peněženku si myslíte, že uživatelé s větší pravděpodobností budou oklamáni?

Peněženka s lepším zabezpečením je jako „zrcadlo“, které dokáže efektivně snížit úzkost uživatelů při identifikaci phishingových podvodů. Nedávno se Keystone také úspěšně integroval s TonKeeper. Věřím, že přidání hardwarových peněženek výrazně zlepší bezpečnost uživatelů na TON.

2. Zabraňte běžným formám phishingu

Stejně jako ostatní veřejné řetězce je phishing v současnosti nejčastější formou útoku na TON s nejširším okruhem obětí. Využijme této příležitosti, abychom se dozvěděli o phishingových metodách používaných hackery na TON:

1. Phishing s nulovým převodem

Hackeři posílají 0 částek TON na mnoho adres v dávkách a pak si dělají poznámky o převodních transakcích, jako například „Přijměte airdrop 1 000 TON a navštivte „http://xxxxx.com“. Uživatelé, kteří jsou „ve světě nezkušení“ může být oklamán, navštívil phishingový web a provedl takzvanou interakci s nárokem. V důsledku toho došlo k odcizení cenného majetku hackery.

2.NFT výsadkový rybolov

Kromě převodů tokenů se hackeři také pokusí přenést NFT do uživatelských peněženek za účelem phishingu.

Například v následujícím případě je na NFT ponechán falešný fragment tržního odkazu, který je předán uživatelům. Když uživatelé vstoupili na falešný trh a pokusili se prodat vyhozené NFT, padli do hackerovy pasti, nejen že se jim nepodařilo NFT prodat, ale byla převedena i jiná aktiva.

3. Dejte si pozor na jedinečnou funkci „Transaction P.S.“ společnosti TON

Převodové transakce na TON mají volitelné pole komentáře, které chápeme jako transakční postscript při provádění bankovních převodů. Toto je původně uživatelsky přívětivá funkce, ale byla také zneužita phishingovými weby s postranními úmysly.

Jak je znázorněno na obrázku níže, hacker se pokusil přimět uživatele, aby přenesl tokeny FISH v peněžence a napsal slova „Received +xxx,xxx,xxx FISH“ do transakčního postscriptu, čímž uživatele svedl, aby si myslel, že dostane více než stávající množství více žetonů FISH, čímž potvrdíte transakci.

Tímto vám připomínáme, abyste nevěřili ničemu v transakčním postscriptu, a doufáme, že v budoucnu bude každý software peněženky poskytovat jasnější bezpečnostní tipy pro transakční postscript.

3. Použijte blockchainový prohlížeč k identifikaci podvodů a phishingu

Na Ethereum běžně používáme etherscan k zobrazení informací o řetězci, zatímco odpovídající nástroje na TON zahrnují tonscan a tonviewer.

Porovnáním bezpečnostních funkcí těchto dvou lze zjistit, že tonviewer je lepší v identifikaci podvodu a phishingu: nejenže u transakcí podezřelých z phishingu dává podezřelou výzvu „PODEZŘELÉ“, ale také přidává „podezřelé“ k podvodné výsadky NFT, je na něm vytištěno slovo SCAM, aby uživatelé nebyli oklamáni.

A tonscan zobrazuje pouze informace o řetězci a postrádá některé tipy týkající se zabezpečení. Doporučujeme, aby uživatelé, kteří právě vstoupili do ekosystému TON, dali přednost použití tonvieweru k zobrazení informací o adrese peněženky.

4. K dalšímu zajištění bezpečnosti použijte hardwarové peněženky

V jakémkoli veřejném řetězci je použití hardwarové peněženky k odpojení mnemotechnické fráze od sítě a provádění sekundárního ověření transakcí bezpečným prostředkem k účinné ochraně majetku. Díky integraci Keystone s peněženkou TonKeeper mohou uživatelé ekosystému TON také využívat zabezpečení, které přinášejí hardwarové peněženky. Pro uživatele hardwarové peněženky máme následující návrhy:

• Ušetřete velké množství aktiv pomocí hardwarových peněženek

• Použijte 3 sady mnemotechnických frází Keystone k uložení majetku do více peněženek, abyste zabránili jednotlivým rizikovým bodům

• Pečlivě zkontrolujte transakční informace zobrazené Keystone, abyste se vyhnuli podpisovým phishingovým transakcím

Ve světě blockchainu příležitosti často koexistují s riziky. Jak se ekosystém TON rozrůstá, při hledání vysoce kvalitních projektových investic nezapomínejte chránit bezpečnost svých aktiv. Keystone je také ochoten pokračovat v BUIDL se všemi stranami v ekosystému TON s cílem vybudovat bezpečné interaktivní prostředí.