來源:Beosin
隨着TON生態的快速發展,越來越多的用戶开始進入TON生態。在此背景下,很多黑客早已伺機而動,利用TON集成先進的詐騙檢測工具的時間窗口,部署各種釣魚網站,實施欺詐行爲,並且這種現象日漸猖獗。這不僅對用戶的資產安全構成了嚴重威脅,也對整個TON生態的健康發展帶來了負面影響。
作爲TON生態的安全合作夥伴,針對此類安全風險,Beosin整理了三種典型的釣魚攻擊案例,包含錢包釣魚、網站釣魚、中心化工具釣魚,並爲用戶提供相對應的預防措施,幫助大家安全地交互TON生態項目。
一、 錢包中的釣魚風險
在用戶參與TON生態交互中,用戶經常會在錢包中收到NFT。不明來源的NFT通常是由黑客發送的:
除了NFT的名字具有誘騙性外,用戶在查看NFT內容時,有可能會訪問黑客事先准備好的釣魚網站,從而受到釣魚攻擊。
在TON網絡中,零轉账釣魚十分猖獗。黑客通過零轉账向用戶錢包發送釣魚網站信息,用戶在查看其交易活動時可能上當受騙:
爲避免以上釣魚攻擊,Beosin建議用戶:
1. 保持警惕,對於收到的任何NFT和鏈接都應該先確認來源,不要輕易訪問其網站並鏈接錢包或是直接輸入助記詞。
2. 選擇TonKeeper、MyTonWallet等支持識別可疑交易和NFT的錢包。用戶有機會在第一時間發現釣魚騙局,避免資產損失。
3. 在嘗試轉账給其它地址時,可以先使用KYT工具查詢收款地址風險。目前Beosin KYT已支持TON網絡,自動識別TON網絡中的中高風險地址:
Beosin KYT
由於TON網絡中的Jetton代幣並沒有類似ERC20代幣的授權功能,因此用戶在釣魚網站中鏈接TON的錢包後,黑客通常是直接發起轉账請求,將用戶錢包中的代幣轉移至黑客地址。如下圖所示:
在交易請求中,黑客會利用Comment字段誤導用戶以爲自己在獲取獎勵或是領取代幣,從而確認釣魚交易,造成損失。
以Scam Sniffer發現的這起釣魚事件爲例,黑客將Comment字段內容設置爲“Received +5,000 USDT”。
用戶看到的交易請求如下圖所示,非常容易誤以爲完成這筆交易後就可以收到5000 USDT,從而着急確認交易。實際上這筆交易是將受害者錢包中的4.52個TON轉移到黑客的地址中。
用戶需注意Comment字段主要用於留言、地址識別,並不代表交易結果。因爲Comment字段的內容可以由發起交易的人任意設定,請不要相信Comment字段中的任何內容。
TON生態小遊戲的火熱和TG Bot的便利性讓更多用戶選擇直接使用Telegram及Wallet錢包,而非自托管的其它錢包去參與到玩遊戲、交易的過程中。如果用戶的Telegram账號被盜,那么Wallet錢包中的資產也會被黑客控制。用戶需开啓Telegram的二步驗證提高其账號的安全性。
盡管現在的小遊戲和TG Bot如雨後春筍般誕生,但大部分的應用多專注於功能性的實現,而對於安全的考量仍然存在一些缺漏。例如直接讓用戶導入私鑰或是爲用戶創建新的錢包。這些操作讓這些應用實質上掌握了用戶的全部資產,容易出現Rug等中心化風險。
在深入了解了TON生態的釣魚手段和風險之後,我們可以發現,TON生態盡管充滿了前景與可能性,但也伴隨着不少風險與安全挑战。用戶必須對持有的資產保持高度的警惕和謹慎。從選擇安全性更高的錢包、使用地址風險分析工具,到提高自身反釣魚意識,這些預防措施能夠在很大程度上降低風險,保護用戶的資產安全。我們鼓勵所有用戶在參與TON生態項目交互時保持謹慎,在Web3的世界中,安全永遠是第一位的。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:如何養成Web3鏈上好習慣?TON生態防釣魚指南
地址:https://www.100economy.com/article/131106.html