來源：Beosin

隨着TON生態的快速發展，越來越多的用戶开始進入TON生態。在此背景下，很多黑客早已伺機而動，利用TON集成先進的詐騙檢測工具的時間窗口，部署各種釣魚網站，實施欺詐行爲，並且這種現象日漸猖獗。這不僅對用戶的資產安全構成了嚴重威脅，也對整個TON生態的健康發展帶來了負面影響。

作爲TON生態的安全合作夥伴，針對此類安全風險，Beosin整理了三種典型的釣魚攻擊案例，包含錢包釣魚、網站釣魚、中心化工具釣魚，並爲用戶提供相對應的預防措施，幫助大家安全地交互TON生態項目。

一、  錢包中的釣魚風險

1.  NFT釣魚

在用戶參與TON生態交互中，用戶經常會在錢包中收到NFT。不明來源的NFT通常是由黑客發送的：

除了NFT的名字具有誘騙性外，用戶在查看NFT內容時，有可能會訪問黑客事先准備好的釣魚網站，從而受到釣魚攻擊。

2.  零轉账釣魚

在TON網絡中，零轉账釣魚十分猖獗。黑客通過零轉账向用戶錢包發送釣魚網站信息，用戶在查看其交易活動時可能上當受騙：

爲避免以上釣魚攻擊，Beosin建議用戶：

1.  保持警惕，對於收到的任何NFT和鏈接都應該先確認來源，不要輕易訪問其網站並鏈接錢包或是直接輸入助記詞。

2.  選擇TonKeeper、MyTonWallet等支持識別可疑交易和NFT的錢包。用戶有機會在第一時間發現釣魚騙局，避免資產損失。

3.  在嘗試轉账給其它地址時，可以先使用KYT工具查詢收款地址風險。目前Beosin KYT已支持TON網絡，自動識別TON網絡中的中高風險地址：

Beosin KYT

二、被誤解的Comment字段

由於TON網絡中的Jetton代幣並沒有類似ERC20代幣的授權功能，因此用戶在釣魚網站中鏈接TON的錢包後，黑客通常是直接發起轉账請求，將用戶錢包中的代幣轉移至黑客地址。如下圖所示：

在交易請求中，黑客會利用Comment字段誤導用戶以爲自己在獲取獎勵或是領取代幣，從而確認釣魚交易，造成損失。

以Scam Sniffer發現的這起釣魚事件爲例，黑客將Comment字段內容設置爲“Received +5,000 USDT”。

用戶看到的交易請求如下圖所示，非常容易誤以爲完成這筆交易後就可以收到5000 USDT，從而着急確認交易。實際上這筆交易是將受害者錢包中的4.52個TON轉移到黑客的地址中。

用戶需注意Comment字段主要用於留言、地址識別，並不代表交易結果。因爲Comment字段的內容可以由發起交易的人任意設定，請不要相信Comment字段中的任何內容。

三、中心化風險

TON生態小遊戲的火熱和TG Bot的便利性讓更多用戶選擇直接使用Telegram及Wallet錢包，而非自托管的其它錢包去參與到玩遊戲、交易的過程中。如果用戶的Telegram账號被盜，那么Wallet錢包中的資產也會被黑客控制。用戶需开啓Telegram的二步驗證提高其账號的安全性。

盡管現在的小遊戲和TG Bot如雨後春筍般誕生，但大部分的應用多專注於功能性的實現，而對於安全的考量仍然存在一些缺漏。例如直接讓用戶導入私鑰或是爲用戶創建新的錢包。這些操作讓這些應用實質上掌握了用戶的全部資產，容易出現Rug等中心化風險。

總結

在深入了解了TON生態的釣魚手段和風險之後，我們可以發現，TON生態盡管充滿了前景與可能性，但也伴隨着不少風險與安全挑战。用戶必須對持有的資產保持高度的警惕和謹慎。從選擇安全性更高的錢包、使用地址風險分析工具，到提高自身反釣魚意識，這些預防措施能夠在很大程度上降低風險，保護用戶的資產安全。我們鼓勵所有用戶在參與TON生態項目交互時保持謹慎，在Web3的世界中，安全永遠是第一位的。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。