作者:Keystone 中文
今年以來,TON(The Open Network)收穫了衆多的關注。作爲和 Telegram 深度綁定的公鏈,龐大的用戶基礎,新項目的造富效應使得用戶紛紛想要進入 TON 生態,尋找屬於自己的 Alpha。
俗話說:有人的地方就有江湖,有流量的公鏈,黑客也會像鯊魚聞到血腥一樣圍過來。作爲一個技術特點不同於 EVM 的公鏈,在 TON上交互的時候可不能沿用 EVM 上的安全習慣。
作爲積極推進與 TON 生態集成的硬件錢包廠商,我們整理了一些安全上的建議,幫助大家安全地擁抱 TON 生態。🤗
一、正確選擇錢包
由於技術實現不同,大家習慣使用的 EVM 錢包如 Metamask、Rabby 等目前都不支持 TON,因此我們需要另外安裝支持 TON 的錢包。
此時一個安全性高的錢包對於我們來說至關重要,我們可以從錢包是否開源,是否支持硬件錢包等方面來評估哪款錢包更適合自己,而特別要注意的就是該錢包對於交易信息的解析是否全面到位。
舉個例子,在面對 TON 上的釣魚網站,當黑客想轉走我錢包裏的某些資產時,錢包軟件 OpenMask 和TonKeeper @tonkeeper的交易解析結果大相徑庭,如下圖所示:
在OpenMask看起來,這就是一筆正常的「領取空投」交易,但事實果真如此嗎?
同樣一筆交易,Tonkeeper卻爲我們解析展現了更多的信息,似乎釣魚網站正試圖盜走錢包中的 FISH 代幣, 黑客的行爲成功地被Tonkeeper揭示出來了。
相比較之下,你覺得使用哪款錢包的用戶更容易上當?
安全性更好的錢包,猶如一面「照妖鏡」,可以有效降低用戶在識別釣魚詐騙上的焦慮。近期 Keystone 也成功地與 TonKeeper 完成集成,相信硬件錢包的加入,能讓用戶在 TON 上的安全性成噸提高。
二、防範常見的釣魚形式
和其他公鏈一樣,釣魚也是目前 TON 上最常見,受害者最廣泛的攻擊形式。藉此機會我們來了解一下 TON 上黑客都有哪些釣魚手段:
1.零金額轉賬釣魚
黑客通過批量發送 0 金額的 TON 到許多地址上,再對轉賬交易備註諸如“領取 1000 TON 的空投,訪問 “http://xxxxx.com ” 等內容,“涉世未深”的用戶可能因此上當受騙,訪問該釣魚網站,並進行了所謂的領取交互,結果被黑客偷走了寶貴的資產。
2.NFT 空投釣魚
除了代幣轉賬,黑客也會嘗試空投 NFT 到用戶錢包進行釣魚,NFT 上除了好看的圖片外,同樣也會留下釣魚網站的網址對用戶進行誘騙。
比如下面這個案例,在空投給用戶的 NFT 上留有假冒的 fragment 市場鏈接。當用戶進入假冒的市場並試圖將空投的 NFT 掛單賣出時,便掉進了黑客的陷阱,不僅沒能賣出 NFT,反而被轉走了其他資產。
3.警惕 TON 特有的「交易附言」功能
TON 上的轉賬交易都有一個可選的 comment 字段,我們把它理解成銀行轉賬時的交易附言。這本來是方便用戶的功能,卻也被別有用心的釣魚網站利用。
如下圖所示,黑客試圖讓用戶將錢包中的 FISH 代幣轉出,並在交易附言中寫上"Received +xxx,xxx,xxx FISH"的字樣,誤導用戶以爲自己將獲得比現有數量更多的 FISH 代幣,從而確認交易。
在此我們提醒各位,不要相信交易附言中的任何內容,也希望在未來各個錢包軟件能爲交易附言做出更明確的安全提示。
三、利用區塊鏈瀏覽器識別詐騙釣魚
在以太坊上我們常用 etherscan 查看鏈上信息,而 TON 上對應的工具有 tonscan 和 tonviewer。
通過比較二者在安全方面的功能,可以發現 tonviewer 在識別詐騙釣魚這一功能上更勝一籌:不僅針對疑是釣魚的交易給出了"SUSPICIOUS"的可疑提示,對於空投的詐騙 NFT,也加上了 SCAM 字樣,防止用戶上當。
而 tonscan 僅僅展示了鏈上信息,缺少一些安全相關的提示。我們建議剛剛進入 TON 生態的用戶,優先使用 tonviewer 來查看錢包地址的信息。
四、使用硬件錢包進一步保證安全
在任何公鏈上,使用硬件錢包將助記詞脫網,並對交易進行二次驗證,都是有效保護資產的安全手段。Keystone 通過與 TonKeeper 錢包集成,使得 TON 生態用戶也能夠享受硬件錢包帶來的安全性。針對硬件錢包用戶,我們有以下建議:
• 將大額資產使用硬件錢包保存
• 利用 Keystone 的 3 組助記詞,將資產分開多個錢包存放,防止單點風險
• 仔細查看 Keystone 顯示的交易信息,避免簽名釣魚交易
在區塊鏈世界裏,機遇往往與風險並存。隨着 TON 生態的壯大,在尋找優質項目投資的同時,也不要忘記保護自己的資產安全。Keystone 也願與 TON 生態各方一起持續 BUIDL,共建一個安全的交互環境。
