随着TON生态的快速发展，越来越多的用户开始进入TON生态。在此背景下，很多黑客早已伺机而动，利用TON集成先进的诈骗检测工具的时间窗口，部署各种钓鱼网站，实施欺诈行为，并且这种现象日渐猖獗。这不仅对用户的资产安全构成了严重威胁，也对整个TON生态的健康发展带来了负面影响。

作为TON生态的安全合作伙伴，针对此类安全风险，Beosin整理了三种典型的钓鱼攻击案例，包含钱包钓鱼、网站钓鱼、中心化工具钓鱼，并为用户提供相对应的预防措施，帮助大家安全地交互TON生态项目。

一、  钱包中的钓鱼风险

1.  NFT钓鱼

在用户参与TON生态交互中，用户经常会在钱包中收到NFT。不明来源的NFT通常是由黑客发送的：

除了NFT的名字具有诱骗性外，用户在查看NFT内容时，有可能会访问黑客事先准备好的钓鱼网站，从而受到钓鱼攻击。

2.  零转账钓鱼

在TON网络中，零转账钓鱼十分猖獗。黑客通过零转账向用户钱包发送钓鱼网站信息，用户在查看其交易活动时可能上当受骗：

为避免以上钓鱼攻击，Beosin建议用户：

1.  保持警惕，对于收到的任何NFT和链接都应该先确认来源，不要轻易访问其网站并链接钱包或是直接输入助记词。

2.  选择TonKeeper、MyTonWallet等支持识别可疑交易和NFT的钱包。用户有机会在第一时间发现钓鱼骗局，避免资产损失。

3.  在尝试转账给其它地址时，可以先使用KYT工具查询收款地址风险。目前Beosin KYT已支持TON网络，自动识别TON网络中的中高风险地址：

Beosin KYT

二、被误解的Comment字段

由于TON网络中的Jetton代币并没有类似ERC20代币的授权功能，因此用户在钓鱼网站中链接TON的钱包后，黑客通常是直接发起转账请求，将用户钱包中的代币转移至黑客地址。如下图所示：

在交易请求中，黑客会利用Comment字段误导用户以为自己在获取奖励或是领取代币，从而确认钓鱼交易，造成损失。

以Scam Sniffer发现的这起钓鱼事件为例，黑客将Comment字段内容设置为“Received +5,000 USDT”。

用户看到的交易请求如下图所示，非常容易误以为完成这笔交易后就可以收到5000 USDT，从而着急确认交易。实际上这笔交易是将受害者钱包中的4.52个TON转移到黑客的地址中。

用户需注意Comment字段主要用于留言、地址识别，并不代表交易结果。因为Comment字段的内容可以由发起交易的人任意设定，请不要相信Comment字段中的任何内容。

三、中心化风险

TON生态小游戏的火热和TG Bot的便利性让更多用户选择直接使用Telegram及Wallet钱包，而非自托管的其它钱包去参与到玩游戏、交易的过程中。如果用户的Telegram账号被盗，那么Wallet钱包中的资产也会被黑客控制。用户需开启Telegram的二步验证提高其账号的安全性。

尽管现在的小游戏和TG Bot如雨后春笋般诞生，但大部分的应用多专注于功能性的实现，而对于安全的考量仍然存在一些缺漏。例如直接让用户导入私钥或是为用户创建新的钱包。这些操作让这些应用实质上掌握了用户的全部资产，容易出现Rug等中心化风险。

总结

在深入了解了TON生态的钓鱼手段和风险之后，我们可以发现，TON生态尽管充满了前景与可能性，但也伴随着不少风险与安全挑战。用户必须对持有的资产保持高度的警惕和谨慎。从选择安全性更高的钱包、使用地址风险分析工具，到提高自身反钓鱼意识，这些预防措施能够在很大程度上降低风险，保护用户的资产安全。我们鼓励所有用户在参与TON生态项目交互时保持谨慎，在Web3的世界中，安全永远是第一位的。

最后，欢迎大家在评论区分享你见到的或者遭遇的钓鱼骗局，Beosin会在之后为大家带来更多详细的钓鱼分析和防范指南。