7月1日,Tether 与 Web3 购物和基础设施公司 Uquid 合作,允许菲律宾公民在 Open Network(TON)上用 USDT 支付社保资金。这一举措为加密行业与实体经济的融合提供了有益的实践案例,预示着加密货币在金融创新与改善支付系统的积极作用。
在过去一年中,$TON 的价格上涨了 5 倍多,市值跻身前十。生态繁荣的 TON 已然向用户敞开大门,然而我们必须时刻警惕那些潜藏在暗处的威胁,本文旨在通过阐述 TON 生态的安全现状对用户进行风险提示。
TON生态用户激增据 Token Terminal 数据,截至 7 月 2 日,TON 网络的月活用户数量从年初的 22.8 万激增至 464 万。TON 的崛起少不了其基于 Telegram 的点击游戏的风靡,以热门游戏 Notcoin 为例,它通过奖励用户点击屏幕的方式已吸引 3500万用户,Hamster Kombat 则称其累计用户已达 2 亿。
然而,数百万加入 TON 区块链并希望通过各种 Telegram 小程序接收空投的用户并非加密货币原生用户,在病毒式传播的游戏体验下,他们通常是第一次接触到钱包和种子短语。由于缺少对区块链交易的不可逆性与链上交易潜在风险的正确认知,这类新用户极易受到诈骗、黑客攻击等事件,导致资产损失。
TON 在倡导隐私的 Telegram 上出现,为诈骗分子提供了更加便利的环境。作为非 EVM,TON 尚未集成 EVM 上成熟且先进的安全工具,这意味着 TON 网络上的安全防护措施可能不如其他主流区块链完善。
TON生态暗含风险除了EVM常见的零金额转账骗局、NFT空投钓鱼等骗局,TON上较为典型的是交易留言骗局。
用户点击“Received +5,000 USDT”的弹窗并发送 TON 后,未收到“承诺赠送”的 USDT。这是诈骗分子针对 TON 制定的新型骗局,利用 TON 转账过程中的附言功能添加误导性信息,以骗取用户资产。
Bitrace 深入追踪后发现,诈骗地址 O-ApOg2m 创建于 5 月 5 日,通过 2 天共 14 笔的附言互转测试后,在最后一笔测试中留言俄语「прогрев」,意为预热,随后便开启正式的欺诈作业。隔日,O-ApOg2m 通过附言骗局收获了第一笔赃款。
如图示,受害人陆续受骗,往 O-ApOg2m 诈骗地址发送数额不等的 TON 代币以换取附言承诺的 5,000 USDT。据统计,在仅仅两个月内,这一简单的交易留言诈骗地址已至少获利 22,000枚$TON(约 128 万人民币)。
受害人用俄语附言对骗子进行声讨除了各类骗局在 TON 出现,Drainer 也已向 TON 生态伸出獠爪。Drainer 是一种恶意软件,专门设计用来非法清空或“排空”加密货币钱包,这种软件被其开发者提供出租,意味着任何人付费使用该恶意工具。Bitrace 发现某 Drainer 组织通过 Telegram 群组售卖其服务,并收取 30%的赃款分成。他们发表言论称「just to clarify: we don’t care where or who your victim is from. We allow draining from all countries including CIS. Nobody is special.」
上图所示的 Drainer 组织自 4 月创立以来,已累计获得 596 位订阅者,并于 5 月中旬宣传其已在 TON 生态获利超 20万美元。
写在最后随着 TON 用户基数的扩大,如何平衡隐私保护与安全需求,成了一个亟待解决的问题。机遇背后暗藏风险,在安全专家努力清除威胁的同时,用户也应提高自身警觉,学会使用 TON 浏览器辨识 SCAM,不轻信无来由的空投资产,不轻信不切实际的交易附言。