本文 Hash(SHA1):a3797a7829093777932a7a8c66e66358bfd8e356

编号:链源 Security Knowledge No.016 

在 Meme 项目和生态融合的成长过程中,Meme 一直被视为生态热度的温度计。公链生态与 Meme 是相辅相成的,在一定时期内,整个生态的关注度和流量往往会集中在某个 Meme 上,Meme 的名声大噪,代表着公链团队、公链项目、公链用户等各方共同努力的结果。未来,TON 上的 Meme 项目可能会更为突出,基于 Telegram 的用户群体,TON 在这一点上具有其他公链无法比拟的天然优势,Meme 以强大的社区文化和广泛的用户基础为特色,这两者带来的交易热情和流动性可以迅速提升代币项目的市值。TON 的 Notcoin 就是基于 Meme 特点实现的成功例子,虽然 Notcoin 本质上属于 GameFi,但由于其广泛的用户群体和病毒式传播,Notcoin 也被广泛认为是 Memecoin。随着 Notcoin 的成功,许多模仿它的代币也随之涌现。然而,这种现象级的传播往往会伴随着大量的安全问题,例如钓鱼网站冒充项目名义骗取用户的信任。在享受乐趣的同时,大家也需保持谨慎。

常见安全问题: 

合约漏洞:

智能合约是 meme 币项目的核心,一旦出现漏洞,可能会导致代币被盗或滥发。以下是一个常见的漏洞——重入攻击(Reentrancy Attack)的示例代码: 

在上述代码中,withdraw 函数的外部调用 msg.sender.call{value: _amount}("") 存在潜在的重入攻击风险。在攻击场景下,攻击者可以在接收资金后,再次调用 withdraw,反复提取资金,直至合约内的余额被抽干。

权限管理不当:

许多 meme 币项目在权限管理上存在不足,关键操作如铸币和销毁代币的权限可能没有得到有效控制。例如:

在这个示例中,如果所有者的私钥泄露或管理不当,攻击者可能利用这一权限铸造大量代币,破坏市场稳定。

用户安全指南手册:

钱包:

由于 TON 并不是 EVM 公链,因此需使用独立的钱包。其中,最多人使用的是建立在 Telegram 小程序里的 Wallet 以及 Tonkeeper,两者皆由 TOP LAB 开发。不同之处在于 Tonkeeper 是自托管钱包形式,需要自己保管助记词,支持 Chrome 插件或手机 APP 应用操作;而 Wallet 则是内嵌在 Telegram 中,以小程序方式运作,为托管钱包跟随 Telegram 帐号,但需通过 KYC 身份验证才能使用。此外,Wallet 现在推出了 TON SPACE 功能,使钱包功能更完整,可以自行保管助记词,并支持 TON NFT 或各种 Jettons 代币(类似于 ERC 20 / SPL Token,Wallet 的特点在于可以更方便地与各种 Telegram 原生小程序交互使用。

跨链桥和中心化交易所:

准备好钱包后,可以选择从官方跨链桥或第三方桥将资金转入 TON 链

  • 官方桥:https://bridge.ton.org/

  • LayerSwap:https://layerswap.io/app

  • Symbiosis:https://app.symbiosis.finance/

  • Rubic:https://app.rubic.exchange/

而除了使用跨链桥外也有许多中心化交易所已经支持了 $TON 现货或是 $USDT on TON 的存取

  • TON:OKX/ Bybit/ GATE/ MEXC/ Kucoin …

  • USDT on TON:Binance/ OKX/ Bybit/ GATE/ MEXC/ Kucoin …

链上应用:

  • DEX: STON.fi, Dedust.io

  • 聚合器: Mars.TonPlanets

  • LaunchPad: Tonraffles

  • 流动性质押 LSD: TonStakers $tsTON, Bemo $stTON

  • 衍生品永续合约: Storm

  • NFT 市场+借贷: GetGems, Daolama

  • 链上浏览器: TONViewer

安全检查工具:

Ton 生态目前主流的检查工具包括:

Ton Inu 检查工具:Tg Bot,输入合约地址后检查 LP 是否上锁、管理员权限是否放弃;

TON MINTER:网页工具,可检查是否放弃管理员权限。因为安全检查工具目前发展仍不全,并不能 100% 保证代币安全性,用户需注意投资金额。

用户防范措施:

我们链源安全团队建议大家:

  • 使用安全审计过的合约库:建议使用 OpenZeppelin 等经过审计的标准合约库,这些库经过广泛的社区审查和测试,可以显著减少合约中的安全漏洞。

  • 权限控制和多重签名机制 :严格控制关键操作的权限,多重签名机制可以确保在执行敏感操作时需要多方授权,从而降低单点失误的风险。

  • 查看项目安全审计 :对智能合约进行安全审计是发现潜在漏洞的重要手段。用户应选择有信誉的第三方安全公司进行过审计的项目。

  • 实施实时监控机制 :通过区块链监控工具,实时监控智能合约的交易和行为异常。一旦检测到异常活动,如异常大额交易或频繁的失败交易,可以及时报警并采取应对措施。

结语

Meme 项目在区块链生态中起到了重要的推动作用,但同时也带来了许多安全挑战。无论是开发者还是用户,都应高度重视安全问题。链源安全团队建议用户通过采取合适的防范措施和使用安全工具,可以在享受 Meme 项目的乐趣的同时,保护自己的资产和数据安全。随着区块链技术的发展和社区的共同努力,我们相信 ton 生态的 Meme 项目的未来将更加光明。

链源科技是一家专注于区块链安全的公司。我们的核心工作包括区块链安全研究、链上数据分析,以及资产和合约漏洞救援,已成功为个人和机构追回多起被盗数字资产。同时,我们致力于为行业机构提供项目安全分析报告、链上溯源和技术咨询/支撑服务。

感谢各位的阅读,我们会持续专注和分享区块链安全内容。