在過去一年中,$TON的價格上漲了5倍以上,市值躋身前十。生態繁榮的TON已向用戶敞開大門,而我們必須時刻警惕那些潛藏在暗處的威脅。本文旨在通過闡述TON生態的安全現狀對使用者進行風險提示。
據Token Terminal資料,截至7月2日,TON網路的月活使用者數量從年初的22.8萬激增至464萬。TON的崛起少不了其基於Telegram的點選遊戲的風靡,以熱門遊戲Notcoin為例,它通過獎勵使用者點選螢幕的方式已吸引3500萬用戶,Hamster Kombat則稱其累計使用者已達2億。
然而,數百萬加入TON區塊鏈並希望通過各種Telegram小程式接收空投的使用者並非加密貨幣原生使用者,在病毒式傳播的遊戲體驗下,他們通常是第一次接觸到錢包和種子短語。由於缺少對區塊鏈交易的不可逆性與鏈上交易潛在風險的正確認知,這類新使用者極易受到詐騙、駭客攻擊等事件,導致資產損失。
TON在倡導隱私的Telegram上出現,為詐騙分子提供了更加便利的環境。作為非EVM,TON尚未整合EVM上成熟且先進的安全工具,這意味著TON網路上的安全防護措施可能不如其他主流區塊鏈完善。
除了EVM常見的零金額轉帳騙局、NFT空投釣魚等騙局,TON上較為典型的是交易留言騙局。
使用者點選「Received +5,000 USDT」的彈窗並發送TON後,未收到「承諾贈送」的USDT。這是詐騙分子針對TON制定的新型騙局,利用TON轉帳過程中的附言功能新增誤導性資訊,以騙取使用者資產。
Bitrace深入追蹤後發現,詐騙地址O-ApOg2m創建於5月5日,通過2天共14筆的附言互轉測試後,在最後一筆測試中留言俄語「прогрев」,意為預熱,隨後便開啟正式的欺詐作業。隔日,O-ApOg2m通過附言騙局收穫了第一筆贓款。
如圖示,受害人陸續受騙,往O-ApOg2m詐騙地址傳送數額不等的TON代幣以換取附言承諾的5,000 USDT。據統計,在僅僅兩個月內,這一簡單的交易留言詐騙地址已至少獲利22,000枚$TON(約128萬人民幣)。
除了各類騙局在TON出現,Drainer也已向TON生態伸出獠爪。Drainer是一種惡意軟體,專門設計用來非法清空或「排空」加密貨幣錢包,這種軟體被其開發者提供出租,意味著任何人付費使用該惡意工具。
Bitrace發現某Drainer組織通過Telegram群組售賣其服務,並收取30%的贓款分成。他們發表言論稱「just to clarify: we don’t care where or who your victim is from. We allow draining from all countries including CIS. Nobody is special.」
上圖所示的Drainer組織自4月創立以來,已累計獲得596位訂閱者,並於5月中旬宣傳其已在TON生態獲利超20萬美元。
隨著TON使用者基數的擴大,如何平衡隱私保護與安全需求成了一個亟待解決的問題。機遇背後暗藏風險,在安全專家努力清除威脅的同時,使用者也應提高自身警覺,學會使用TON瀏覽器辨識SCAM,不輕信無來由的空投資產,不輕信不切實際的交易附言。
