TON Ecosystem Security Guide: Comprehensive guidance from wallet selection to asset protection

深潮 TechFlow · 2024-06-25T03:53:03.000Z
Author: Keystone Chinese This year, TON (The Open Network) has received a lot of attention. As a public chain deeply tied to Telegram, with a huge user base and the wealth-creating effect of the new project, users are eager to enter the TON ecosystem and find their own Alpha. As the saying goes: Where there are people, there are rivers and lakes. For public chains with traffic, hackers will also come around like sharks smelling blood. As a public chain with technical features different from EVM, when interacting on TON, you cannot follow the security habits of EVM. As a hardware wallet manufacturer that actively promotes integration with the TON ecosystem, we have compiled some security recommendations to help everyone safely embrace the TON ecosystem. 🤗
Автор: Keystone Chinese
С этого года TON (Открытая сеть) привлекла большое внимание. Будучи публичной сетью, глубоко связанной с Telegram, она имеет огромную базу пользователей, а эффект создания новых проектов вызывает у пользователей желание войти в экосистему TON и найти свою собственную альфу.
Как говорится: где есть люди, там есть реки и озера. Если есть общественная сеть с трафиком, хакеры будут приходить сюда, как акулы, учуявшие кровь. Поскольку EVM — публичная сеть, технические характеристики которой отличаются от EVM, правила безопасности EVM не могут соблюдаться при взаимодействии с TON.
Как производитель аппаратного кошелька, который активно продвигает интеграцию с экосистемой TON, мы собрали несколько предложений по безопасности, которые помогут каждому безопасно использовать экосистему TON. 🤗
1. Выберите правильный кошелек
Из-за различных технических реализаций кошельки EVM, к которым все привыкли, такие как Metamask, Rabby и т. д., в настоящее время не поддерживают TON, поэтому нам необходимо установить другой кошелек, поддерживающий TON.
В настоящее время для нас очень важен кошелек с высоким уровнем безопасности. Мы можем оценить, какой кошелек нам больше подходит, с точки зрения того, является ли кошелек открытым исходным кодом и поддерживает ли он аппаратные кошельки. На что нам нужно обратить особое внимание. является ли информация о транзакциях кошелька комплексной и адекватной?
Например, при столкновении с фишинговым веб-сайтом в TON, когда хакер хотел перевести определенные активы в мой кошелек, результаты анализа транзакций программного обеспечения кошелька OpenMask и TonKeeper @tonkeeper сильно отличались, как показано на рисунке ниже:
С точки зрения OpenMask, это обычная транзакция «приема airdrop», но так ли это на самом деле?
По той же транзакции Tonkeeper проанализировал и показал нам дополнительную информацию. Похоже, что фишинговый сайт пытался украсть токены FISH в кошельке, и Tonkeeper успешно раскрыл поведение хакера.
Для сравнения, пользователи какого кошелька, по вашему мнению, с большей вероятностью будут обмануты?
Кошелек с более высокой безопасностью подобен «зеркалу», которое может эффективно снизить беспокойство пользователей при выявлении фишинговых атак. Недавно Keystone также успешно интегрировался с TonKeeper. Я считаю, что добавление аппаратных кошельков значительно повысит безопасность пользователей в TON.
2. Предотвратите распространенные формы фишинга
Как и другие публичные сети, фишинг в настоящее время является наиболее распространенной формой атаки на TON с самым широким кругом жертв. Давайте воспользуемся этой возможностью, чтобы узнать о методах фишинга, используемых хакерами в TON:
1. Фишинг при переводе нулевой суммы
Хакеры отправляют 0 сумм TON на множество адресов в пакетном режиме, а затем делают пометки о транзакциях перевода, например: «Получите раздачу в размере 1000 TON и посетите «http://xxxxxx.com». Пользователи, которые «неопытны в мире» могут быть обмануты, посетили фишинговый веб-сайт и выполнили так называемое претензионное взаимодействие. В результате хакеры украли ценные активы.
2.NFT-воздушная рыбалка
Помимо передачи токенов, хакеры также попытаются закинуть NFT в кошельки пользователей для фишинга. Помимо красивых изображений, NFT также будут оставлять URL-адреса фишинговых веб-сайтов, чтобы обмануть пользователей.
Например, в следующем случае в NFT, передаваемом пользователям по воздуху, остается поддельная ссылка на фрагмент рынка. Когда пользователи вышли на фейковый рынок и попытались продать сброшенный по воздуху NFT, они попали в ловушку хакеров. Им не только не удалось продать NFT, но и другие активы были переведены.
3. Будьте осторожны с уникальной функцией TON «Transaction P.S.».
Транзакции перевода в TON имеют необязательное поле комментария, которое мы понимаем как постскриптум транзакции при совершении банковских переводов. Изначально это была удобная для пользователя функция, но она также использовалась фишинговыми веб-сайтами со скрытыми мотивами.
Как показано на рисунке ниже, хакер пытался заставить пользователя перевести токены FISH в кошелек и написать слова «Получено +xxx,xxx,xxx FISH» в постскриптуме транзакции, вводя пользователя в заблуждение, заставляя его думать, что он получит больше существующей суммы, тем самым подтвердив транзакцию.
Настоящим мы напоминаем вам не верить чему-либо в постскриптуме транзакции, и мы надеемся, что в будущем программное обеспечение каждого кошелька сможет предоставлять более четкие советы по безопасности для постскриптума транзакции.
3. Используйте блокчейн-браузер для выявления случаев мошенничества и фишинга.
В Ethereum мы обычно используем etherscan для просмотра информации в цепочке, в то время как соответствующие инструменты в TON включают tonscan и tonviewer.
Сравнивая функции безопасности этих двух систем, можно обнаружить, что tonviewer лучше выявляет мошенничество и фишинг: он не только выдает подозрительное сообщение «ПОДОЗРИТЕЛЬНО» для транзакций, предположительно являющихся фишинговыми, но также добавляет слово «ПОДОЗРИТЕЛЬНО» к мошеннические раздачи NFT. На нем напечатано слово SCAM, чтобы пользователи не были обмануты.
Тонскан отображает только информацию о цепочке и не имеет некоторых советов по безопасности. Мы рекомендуем пользователям, которые только что вошли в экосистему TON, отдать приоритет использованию tonviewer для просмотра информации об адресе кошелька.
4. Используйте аппаратные кошельки для большей безопасности.
В любой публичной цепочке использование аппаратного кошелька для отделения мнемонической фразы от сети и проведения вторичной проверки транзакций является безопасным средством эффективной защиты активов. Благодаря интеграции с кошельком TonKeeper Keystone позволяет пользователям экосистемы TON наслаждаться безопасностью, обеспечиваемой аппаратными кошельками. Для пользователей аппаратного кошелька у нас есть следующие предложения:
• Сохраняйте большие суммы активов с помощью аппаратных кошельков.
• Используйте 3 набора мнемонических фраз Keystone для хранения активов в нескольких кошельках во избежание единых точек риска.
• Внимательно проверяйте информацию о транзакциях, отображаемую Keystone, чтобы избежать подписей фишинговых транзакций.
В мире блокчейнов возможности часто сосуществуют с рисками. По мере роста экосистемы TON при поиске качественных инвестиций в проекты не забывайте защищать безопасность своих активов. Keystone также готова продолжать BUIDL со всеми сторонами экосистемы TON для создания безопасной интерактивной среды.
Другие публикации автора

Последние новости

Другие публикации автора

Последние новости

Популярные статьи
