Telegram をベースとしたブロックチェーン プラットフォームである Open Network (TON) は、2024 年に記録的な成長を遂げました。オンチェーンで有効化されたウォレットの数は、1 月の約 100 万から 6 月には 900 万以上に急増しました。
しかし、TONの新規ユーザーの大量流入は詐欺師たちに見逃されていません。2024年6月、ブロックチェーンセキュリティ企業SlowMistは、TONエコシステムに対するフィッシング攻撃の増加について警告を発しました。
TON 財団は 2028 年までに 5 億人のユーザーを獲得するという野心的な目標を掲げていますが、急速な導入を妨げることなく、あらゆる攻撃からユーザーを適切に保護するにはどうすればよいかという疑問が生じます。
コインテレグラフは、TONエコシステムのリスクの性質をより深く理解し、ユーザーの資産を安全に保つための手順を特定するために、TON財団を含む複数の幹部や企業に連絡を取った。
ハッケン幹部、テレグラムはミニアプリの安全性に責任を負わないと発言
TON エコシステムのリスクを特定する際には、Telegram は TON ミニアプリの安全性については責任を負わないことを認識する必要があります。
テレグラム上のミニアプリ(NotcoinやHamster Kombatなど)の数は、ここ数ヶ月で大幅に増加している。しかし、それらのアプリのすべてが、ユーザーの資金の安全を確保するためのセキュリティのベストプラクティスに準拠しているわけではないと、サイバーセキュリティ企業Hackenの主任スマートコントラクト監査人、ステパン・チェホフスコイ氏はコインテレグラフに語った。
「これはテレグラムのせいではないということを言っておく価値がある」とチェーホフスコイ氏は強調し、ミニアプリのユーザーの安全は創設者とプロジェクトチームにかかっていると付け加えた。同氏は次のように付け加えた。
「しかし、Telegramはプラットフォーム自体のセキュリティに配慮し、その機能によってユーザーがアカウントをシームレスに保護できるようにする必要があります。サードパーティが開発したミニアプリのセキュリティとはほとんど関係がありません。」
TON 財団の広報担当者は、安全性についてはユーザーとプロジェクトが単独で責任を負うことを確認し、次のように述べています。
「TONブロックチェーンはオープンソースで許可不要であるため、個々のユーザーとプロジェクトは、ネットワーク活動を行う際に自らの安全とセキュリティを確保するよう注意する必要があります。」
TON財団、一部のミニアプリのセキュリティ対策に「感銘」
TON 財団は、TON 上のミニアプリに採用されるセキュリティ対策を強く推奨しています。
「ユーザーを守ろうとする多くのプロジェクトの行動に感銘を受けた」とTON財団の代表者はコインテレグラフに語った。
たとえば、最も人気のある TON ウォレットの 1 つである Tonkeeper では、ユーザーは送信された非代替性トークン (NFT) が正当なものかどうかをマークできます。
広報担当者はまた、悪質な行為者に対する最善の防御策の一つとして、活発で積極的なコミュニティの重要性を強調した。代表者は次のように付け加えた。
「ユーザーは、オンチェーンで取引を行う際は常に注意する必要があります。オンチェーン取引は元に戻せないことを覚えておいてください。疑わしいリンクをクリックしないこと、またオンチェーン取引に署名する前にすべての詳細を再確認することを強くお勧めします。」
Telegram のセルフカストディアルおよびカストディアル ミニアプリ
Hacken の Chekhovskoi 氏によると、セキュリティの観点から見ると、Telegram のミニアプリは他のプラットフォームで構築されたアプリと「何ら変わりません」。そのため、これらのアプリにも同じ Web および暗号セキュリティ対策を適用する必要があります。
Chekhovskoi氏によると、Telegramのミニアプリにはユーザーの秘密鍵を管理する2つの方法があり、これは暗号通貨のカストディウォレットと非カストディウォレットに似ているという。
「テレグラムのミニアプリの大半はカストディアル型なので、他のカストディアルウォレットプロバイダーと同様に、追加のパスワードや2FAメカニズムなどを使用してユーザーを適切に識別する必要がある」と専門家は述べた。
自己管理型アプリの場合、ユーザーは秘密鍵の保存に強力な暗号化を確実に使用する必要があります。「アプリケーションが数字や特殊記号を含む 8 文字のパスワード、または少なくとも指紋を必要としない場合、秘密鍵は安全に暗号化されていないことを意味します」と Chekhovskoi 氏は指摘しています。
関連:Bybitがハムスターコンバットのトークンを市場前取引に上場
ユーザーは、すべてのデバイスで自動ログインに関連するリスクも分散する必要があります。自動ログインが有効になっている場合、デフォルトでユーザーのデバイスにアクセスできるユーザーは誰でもミニアプリにアクセスできます。
TONエコシステムに対する非技術的な脅威
ハッケン氏によると、TONエコシステムの分散型の性質と使いやすさは当然詐欺師を誘い寄せ、「ユーザーを保護するための特効薬はない」という。
TON での非技術的な詐欺を回避するには、非公式アプリやあまり知られていない開発者がリリースしたアプリを操作する際に注意する必要があります。
暗号ウォレットFintopioの共同設立者兼CEOのスティーブ・ミルトン氏によると、潜在的なフィッシング攻撃を回避する方法の1つは、ミニアプリに認証マークがあるかどうかを確認することだという。
Telegram では、ユーザーが公式ソースを簡単に識別できるように、公人や組織の認証を提供しています。Telegram チームは通常、ボットだけでなく、公式チャンネルや公開グループも認証します。
「フィントピオのようなこの厳格なプロセスを経たプロジェクトは、透明性と信頼性への取り組みを実証してきた」とミルトン氏は語った。
ハッケンのチェーホフスコイ氏はまた、テレグラム上での一攫千金の計画に対して警告し、無料のチーズはネズミ捕りの中にしか見つからないと強調した。同氏は次のように述べた。
「無料のお金の提供には常に疑いを持ちましょう。疑わしい機会を受け入れた場合は、メインの暗号通貨ウォレットを危険にさらさず、この目的のために新しいアカウントを作成する方がよいでしょう。」
TON と Telegram を安全に利用するためのヒントをさらに知りたい場合は、TON Foundation の関連ガイダンスに従うこともできます。
雑誌: イーサリアムのフィッシングが難しくなるにつれ、ドレイン業者はTONとビットコインに移行
