本文 Хеш(SHA1):a3797a7829093777932a7a8c66e66358bfd8e356

Номер: Lianyuan Security Knowledge No.016

У процесі розвитку проекту Meme та екологічної інтеграції Meme завжди вважався термометром екологічного тепла. Екологія громадського ланцюга та Meme доповнюють один одного. У певний період часу увага та трафік усієї екології часто будуть зосереджені на певному Meme, який представляє команду публічного ланцюга, проекти громадського ланцюга. користувачі публічного ланцюга тощо. Результат спільних зусиль усіх сторін. У майбутньому проект Meme на TON може стати більш помітним. Базуючись на базі користувачів Telegram, TON має природну перевагу, з якою інші публічні мережі не можуть зрівнятися в цьому відношенні, характеризуючись сильною культурою спільноти та широкою базою користувачів з яких Торговий ентузіазм і ліквідність, які приносять інвестори, можуть швидко збільшити ринкову вартість проектів токенів. Notcoin від TON є успішним прикладом, заснованим на функціях Meme. Незважаючи на те, що Notcoin по суті належить до GameFi, Notcoin також широко вважається Memecoin через його широку базу користувачів і поширення вірусу. З успіхом Notcoin з’явилося багато монет, які його імітують. Однак це явище на рівні поширення часто супроводжується великою кількістю проблем безпеки, таких як фішингові веб-сайти, які видають себе за проекти та обманюють довіру користувачів. Розважаючись, кожен повинен бути обережним.

Поширені проблеми безпеки:

Контрактні лазівки:

Розумні контракти є основою проектів мем-валюти. Як тільки виникає лазівка, токени можуть бути вкрадені або випущений спам. Нижче наведено зразок коду для типової вразливості – атаки повторного входу:

У наведеному вище коді зовнішній виклик msg.sender.call{value: _amount}("") функції зняття має потенційний ризик атаки повторного входу. У сценарії атаки зловмисник може повторно викликати зняття після отримання коштів і повторно знімати кошти, доки не буде вичерпано баланс у контракті.

Неправильне керування дозволами:

Багато проектів мемів мають недоліки в управлінні дозволами, і дозволи на ключові операції, такі як карбування та знищення токенів, можуть не контролюватися ефективно. Наприклад:

У цьому прикладі, якщо особистий ключ власника витік або неправильно керований, зловмисник може використати цей доступ для карбування великої кількості токенів і дестабілізації ринку.

Інструкція з безпеки користувача:

гаманець:

Оскільки TON не є загальнодоступною мережею EVM, потрібно використовувати незалежний гаманець. Серед них найпопулярнішими є Wallet і Tonkeeper, вбудовані в аплет Telegram, обидва розроблені TOP LAB. Різниця полягає в тому, що Tonkeeper — це автономний гаманець, який вимагає від вас зберігати мнемоніку та підтримує роботу плагіна Chrome або мобільного додатка, тоді як Wallet вбудовано в Telegram і працює як невелика програма, слідуючи обліковому запису Telegram для керованого Проте, перш ніж використовувати гаманець, потрібна перевірка особи KYC. Крім того, Wallet тепер запустив функцію TON SPACE, яка робить функцію гаманця більш повною, може зберігати мнемоніку самостійно та підтримує TON NFT або різні токени Jettons (подібно до ERC 20 / SPL Token, Wallet характеризується більшою зручна взаємодія з різними нативними аплетами Telegram.

Міжланцюгові мости та централізовані обміни:

Підготувавши свій гаманець, ви можете переказати кошти в ланцюжок TON з офіційного крос-чейн-бриджа або стороннього мосту

  • Офіційний міст: https://bridge.ton.org/

  • LayerSwap: https://layerswap.io/app

  • Симбіоз: https://app.symbiosis.finance/

  • Rubic: https://app.rubic.exchange/

Окрім використання перехресних ланцюжкових мостів, існує також багато централізованих бірж, які вже підтримують депозит і виведення $TON spot або $USDT на TON.

  • TON: OKX/ Bybit/ GATE/ MEXC/ Kucoin …

  • USDT на TON: Binance/ OKX/ Bybit/ GATE/ MEXC/ Kucoin …

Додатки в мережі:

  • DEX: STON.fi, Dedust.io

  • Агрегатор: Mars.TonPlanets

  • LaunchPad: Tonraffles

  • Ставки ліквідності LSD: TonStakers $tsTON, Bemo $stTON

  • Безстроковий контракт на деривативи: шторм

  • Ринок NFT + кредитування: GetGems, Daolama

  • Вбудований браузер: TONViewer

Інструмент перевірки безпеки:

Поточні основні інструменти перевірки в екосистемі Ton включають:

Інструмент перевірки Ton Inu: Tg Bot після введення адреси контракту перевіряє, чи заблоковано LP і чи не було скасовано повноваження адміністратора;

TON MINTER: веб-інструмент для перевірки прав адміністратора. Оскільки інструменти перевірки безпеки все ще знаходяться в стадії розробки і не можуть на 100% гарантувати безпеку токенів, користувачам потрібно звернути увагу на суму інвестицій.

Запобіжні заходи користувача:

Наша команда безпеки джерел ланцюга рекомендує вам:

  • Використовуйте перевірені бібліотеки контрактів: Рекомендується використовувати перевірені стандартні бібліотеки контрактів, такі як OpenZeppelin. Ці бібліотеки пройшли ретельний огляд і тестування, і вони можуть значно зменшити вразливі місця в контрактах.

  • Контроль дозволів і механізм мультипідпису: суворо контролюйте дозволи на ключові операції. Механізм мультипідпису може гарантувати, що багатостороння авторизація потрібна під час виконання конфіденційних операцій, тим самим зменшуючи ризик одноточкових помилок.

  • Переглянути аудит безпеки проекту: аудит безпеки смарт-контрактів є важливим засобом виявлення потенційних вразливостей. Користувачі повинні вибирати проекти, перевірені авторитетною сторонньою охоронною компанією.

  • Запровадження механізму моніторингу в режимі реального часу: використовуйте інструменти моніторингу блокчейну для моніторингу транзакцій смарт-контрактів і відхилень у поведінці в режимі реального часу. Після виявлення ненормальних дій, таких як аномально великі транзакції або часті невдалі транзакції, ви можете вчасно викликати поліцію та вжити контрзаходів.

Висновок

Проект Meme зіграв важливу роль у просуванні екосистеми блокчейну, але він також приніс багато викликів безпеці. І розробники, і користувачі повинні приділяти велике значення питанням безпеки. Команда безпеки ChainSource рекомендує, щоб користувачі могли захистити свої активи та дані, насолоджуючись проектом Meme, вживаючи відповідних заходів безпеки та використовуючи засоби безпеки. З розвитком технології блокчейн і спільними зусиллями спільноти, ми віримо, що майбутнє тонного екологічного проекту Meme буде світлішим.

Chainyuan Technology — це компанія, яка спеціалізується на безпеці блокчейну. Наша основна робота включає дослідження безпеки блокчейну, аналіз даних у ланцюжку та порятунок активів і контрактів від уразливостей, і ми успішно відновили багато викрадених цифрових активів для окремих осіб і установ. У той же час ми прагнемо надавати галузевим організаціям звіти про аналіз безпеки проекту, відстежувати мережу та технічні консультації/послуги підтримки.

Дякуємо за прочитання, ми продовжуватимемо зосереджуватися на вмісті безпеки блокчейну та ділитися ним. ​