了解 TON 生態的釣魚套路

作者: Beosin

隨著 TON 生態的快速發展,越來越多的用戶開始進入 TON 生態。在此背景下,許多駭客早已伺機而動,利用 TON 整合先進的詐騙偵測工具的時間窗口,部署各種釣魚網站,實施詐欺行為,這種現像日漸猖獗。這不僅對使用者的資產安全構成了嚴重威脅,也對整個 TON 生態的健康發展帶來了負面影響。

身為 TON 生態的安全合作夥伴,針對此類安全風險,Beosin 整理了三種典型的釣魚攻擊案例,包含錢包釣魚、網站釣魚、中心化工具釣魚,並為用戶提供相對應的預防措施,幫助大家安全地交互 TON 生態項目。

圖片

一、 錢包中的釣魚風險

1. NFT 釣魚

在用戶參與 TON 生態互動中,用戶經常會在錢包中收到 NFT。不明來源的 NFT 通常是由駭客發送的:

除了 NFT 的名字具有誘騙性外,用戶在查看 NFT 內容時,有可能會造訪駭客事先準備好的釣魚網站,從而受到釣魚攻擊。

圖片

2. 零轉帳釣魚

在 TON 網路中,零轉帳釣魚十分猖獗。駭客透過零轉帳向用戶錢包發送釣魚網站訊息,用戶在查看其交易活動時可能會上當受騙:

圖片

為避免以上釣魚攻擊,Beosin 建議使用者:

1. 保持警惕,對於收到的任何 NFT 和連結都應該先確認來源,不要輕易訪問其網站並連結錢包或是直接輸入助記詞

2.    選擇 TonKeeper、MyTonWallet 等支持識別可疑交易和 NFT 的錢包。用戶有機會在第一時間發現釣魚騙局,避免資產損失。

3. 在嘗試轉帳給其它地址時,可以先使用 KYT 工具查詢收款地址風險。目前 Beosin KYT 已支援 TON 網絡,自動識別 TON 網路中的中高風險位址

Beosin KYT

二、被誤解的 Comment 字段

由於 TON 網路中的 Jetton 代幣並沒有類似 ERC20 代幣的授權功能,因此用戶在釣魚網站中連結 TON 的錢包後,駭客通常是直接發起轉帳請求,將用戶錢包中的代幣轉移至駭客地址。如下圖所示:

圖片

在交易請求中,駭客會利用 Comment 欄位誤導用戶以為自己在獲取獎勵或是領取代幣,從而確認釣魚交易,造成損失。

以 Scam Sniffer 發現的這起釣魚事件為例,駭客將 Comment 欄位內容設定為「Received +5,000 USDT」。

用戶看到的交易請求如下圖所示,非常容易誤以為完成這筆交易後就可以收到 5000 USDT,從而著急確認交易。實際上這筆交易是將受害者錢包中的 4.52 個 TON 轉移到駭客的地址中。

使用者需注意 Comment 欄位主要用於留言、位址識別,並不代表交易結果。因為 Comment 欄位的內容可以由發起交易的人任意設定,請不要相信 Comment 欄位中的任何內容。

三、中心化風險

TON 生態小遊戲的火熱和 TG Bot 的便利性讓更多用戶選擇直接使用 Telegram 及 Wallet 錢包,而非自託管的其它錢包去參與到玩遊戲、交易的過程中。如果用戶的 Telegram 帳號被盜,那麼 Wallet 錢包中的資產也會被駭客控制。使用者需開啟 Telegram 的二步驟驗證提高其帳號的安全性。

儘管現在的小遊戲和 TG Bot 如雨後春筍般誕生,但大部分的應用多專注於功能性的實現,而對於安全的考慮仍然存在一些缺漏。例如直接讓用戶匯入私鑰或是為用戶建立新的錢包。這些操作讓這些應用實質上掌握了使用者的全部資產,容易出現 Rug 等中心化風險。

總結

在深入了解了 TON 生態的釣魚手段和風險之後,我們可以發現,TON 生態儘管充滿了前景與可能性,但也伴隨著許多風險與​​安全挑戰。用戶必須對持有的資產保持高度的警惕和謹慎。從選擇安全性更高的錢包、使用地址風險分析工具,到提高自身反釣魚意識,這些預防措施能夠在很大程度上降低風險,並保護用戶的資產安全。我們鼓勵所有使用者在參與 TON 生態專案互動時保持謹慎,在 Web3 的世界中,安全永遠是第一位的。

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。