今年以来,TON(The Open Network)收获了众多的关注。作为和 Telegram 深度绑定的公链,庞大的用户基础,新项目的造富效应使得用户纷纷想要进入 TON 生态,寻找属于自己的 Alpha。
俗话说:有人的地方就有江湖,有流量的公链,黑客也会像鲨鱼闻到血腥一样围过来。作为一个技术特点不同于 EVM 的公链,在 TON 上交互的时候可不能沿用 EVM 上的安全习惯。
作为积极推进与 TON 生态集成的硬件钱包厂商,我们整理了一些安全上的建议,帮助大家安全地拥抱 TON 生态。
由于技术实现不同,大家习惯使用的 EVM 钱包如 Metamask、Rabby 等目前都不支持 TON,因此我们需要另外安装支持 TON 的钱包。
此时一个安全性高的钱包对于我们来说至关重要,我们可以从钱包是否开源,是否支持硬件钱包等方面来评估哪款钱包更适合自己,而特别要注意的就是该钱包对于交易信息的解析是否全面到位。
举个例子,在面对 TON 上的钓鱼网站,当黑客想转走我钱包里的某些资产时,钱包软件 OpenMask 和 TonKeeper @tonkeeper 的交易解析结果大相径庭,如下图所示:
在 OpenMask 看起来,这就是一笔正常的「领取空投」交易,但事实果真如此吗?
同样一笔交易,Tonkeeper 却为我们解析展现了更多的信息,似乎钓鱼网站正试图盗走钱包中的 FISH 代币,黑客的行为成功地被 Tonkeeper 揭示出来了。
相比较之下,你觉得使用哪款钱包的用户更容易上当?
安全性更好的钱包,犹如一面「照妖镜」,可以有效降低用户在识别钓鱼**上的焦虑。近期 Keystone 也成功地与 TonKeeper 完成集成,相信硬件钱包的加入,能让用户在 TON 上的安全性成吨提高。
和其他公链一样,钓鱼也是目前 TON 上最常见,受害者最广泛的攻击形式。借此机会我们来了解一下 TON 上黑客都有哪些钓鱼手段:
黑客通过批量发送 0 金额的 TON 到许多地址上,再对转账交易备注诸如「领取 1000 TON 的空投,访问「http://xxxxx.com」等内容,「涉世未深」的用户可能因此上当受骗,访问该钓鱼网站,并进行了所谓的领取交互,结果被黑客偷走了宝贵的资产。
除了代币转账,黑客也会尝试空投 NFT 到用户钱包进行钓鱼,NFT 上除了好看的图片外,同样也会留下钓鱼网站的网址对用户进行诱骗。
比如下面这个案例,在空投给用户的 NFT 上留有假冒的 fragment 市场链接。当用户进入假冒的市场并试图将空投的 NFT 挂单卖出时,便掉进了黑客的陷阱,不仅没能卖出 NFT,反而被转走了其他资产。
TON 上的转账交易都有一个可选的 comment 字段,我们把它理解成银行转账时的交易附言。这本来是方便用户的功能,却也被别有用心的钓鱼网站利用。
如下图所示,黑客试图让用户将钱包中的 FISH 代币转出,并在交易附言中写上"Received xxx,xxx,xxx FISH"的字样,误导用户以为自己将获得比现有数量更多的 FISH 代币,从而确认交易。
在此我们提醒各位,不要相信交易附言中的任何内容,也希望在未来各个钱包软件能为交易附言做出更明确的安全提示。
在以太坊上我们常用 etherscan 查看链上信息,而 TON 上对应的工具有 tonscan 和 tonviewer。
通过比较二者在安全方面的功能,可以发现 tonviewer 在识别**钓鱼这一功能上更胜一筹:不仅针对疑是钓鱼的交易给出了"SUSPICIOUS"的可疑提示,对于空投的** NFT,也加上了 SCAM 字样,防止用户上当。
而 tonscan 仅仅展示了链上信息,缺少一些安全相关的提示。我们建议刚刚进入 TON 生态的用户,优先使用 tonviewer 来查看钱包地址的信息。
在任何公链上,使用硬件钱包将助记词脱网,并对交易进行二次验证,都是有效保护资产的安全手段。Keystone 通过与 TonKeeper 钱包集成,使得 TON 生态用户也能够享受硬件钱包带来的安全性。针对硬件钱包用户,我们有以下建议:
• 将大额资产使用硬件钱包保存
• 利用 Keystone 的 3 组助记词,将资产分开多个钱包存放,防止单点风险
• 仔细查看 Keystone 显示的交易信息,避免签名钓鱼交易
在区块链世界里,机遇往往与风险并存。随着 TON 生态的壮大,在寻找优质项目投资的同时,也不要忘记保护自己的资产安全。Keystone 也愿与 TON 生态各方一起持续 BUIDL,共建一个安全的交互环境。
| 正加财富网内容推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 新手交易教程 | 平台提币指南 | 挖矿方法讲解 |
