" The Open Network (TON), блокчейн-платформа, интегрированная с Telegram, в 2024 году продемонстрировала рекордный рост. Число кошельков, активированных в сети, выросло с примерно 1 миллиона в январе до более 9 миллионов в июне.
Однако массовый приток в TON новых пользователей не остался без внимания мошенников. В июне 2024 года компания SlowMist, занимающаяся безопасностью блокчейнов, выпустила предупреждение об увеличении количества фишинговых атак на экосистему TON.
Поскольку TON Foundation амбициозно рассчитывает привлечь 500 миллионов пользователей к 2028 году, возникает вопрос о том, как должным образом защитить всех этих людей от разнообразных атак, не препятствуя быстрому внедрению.
Специалисты рассказываю о природе рисков в экосистеме TON и предлагают шаги по обеспечению безопасности активов пользователей.
Telegram не несет ответственности за безопасность мини-приложений
Выявляя риски в экосистеме TON, следует понимать, что Telegram не несет ответственности за безопасность мини-приложений, связанных с TON.
Количество мини-приложений в Telegram, таких как Notcoin или Hamster Kombat, значительно выросло за последние несколько месяцев. Однако не все эти приложения соответствуют лучшим практикам для обеспечения безопасности средств своих пользователей, говорит Степан Чеховской, ведущий аудитор смарт-контрактов в компании по кибербезопасности Hacken.
«Стоит отметить, что это не вина Telegram, — подчеркивает Чеховской, добавляя, что безопасность пользователей Mini Apps лежит на основателях и командах проектов.
«Однако Telegram должен позаботиться о безопасности самой платформы и обеспечить, чтобы ее функциональность позволяла пользователям беспрепятственно защищать свои учетные записи; это не имеет почти никакого отношения к безопасности мини-приложения, разработанного третьей стороной», — считает Чеховской.
Представитель TON Foundation подтвердил, что пользователи и проекты несут полную ответственность за свою безопасность, заявив:
«Поскольку блокчейн TON имеет открытый исходный код и не требует разрешений, отдельные пользователи и проекты должны быть осторожны, чтобы обеспечить свою безопасность и защищенность при выполнении сетевой деятельности».
TON Foundation впечатлен мерами безопасности некоторых Mini Apps
TON Foundation настоятельно рекомендует меры безопасности, принятые мини-приложениями в Telegram.
«Мы были впечатлены действиями многих проектов, поскольку они стремятся защитить своих пользователей», — говорит представитель TON Foundation.
Например, Tonkeeper, один из самых популярных кошельков на базе TON, позволил пользователям отмечать, является ли полученный ими невзаимозаменяемый токен (NFT) законным.
Представитель TON Foundation также подчеркнул важность активного и заинтересованного сообщества как одной из лучших гарантий от злоумышленников. Он добавил:
«Пользователи всегда должны быть осторожны при совершении транзакций в сети. Помните, что любая транзакция в сети необратима. Мы настоятельно советуем нашим пользователям не нажимать на подозрительные ссылки и дважды проверять каждую деталь, прежде чем подписывать какую-либо транзакцию в сети».
Мини-приложения для самостоятельного и кастодиального хранения в Telegram
По словам Чеховского из Hacken, с точки зрения безопасности мини-приложения Telegram ничем не отличаются от приложений, созданных на других платформах. Таким образом, к этим приложениям следует применять одни и те же меры веб- и криптобезопасности.
По словам Чеховского, в мини-приложениях Telegram есть два способа управления личными ключами пользователей, которые можно сравнить с депозитарными и некастодиальными кошельками в криптовалюте.
«Большинство мини-приложений Telegram являются кастодиальными, поэтому, как и любой другой поставщик кастодиального кошелька, они должны правильно идентифицировать своих пользователей с помощью дополнительных паролей, 2FA (двухфакторной аутентификации) и других механизмов», — сказал эксперт.
Для приложений с самостоятельным хранением пользователи должны обеспечить надежное шифрование для хранения закрытых ключей.
"Если приложение не требует пароля из восьми символов, включая цифры и специальные символы, или хотя бы отпечатка пальца, это означает, что закрытый ключ не надежно зашифрован", - отметил Чеховской.
Пользователи также должны различать риски, связанные с автоматическим входом в систему на всех устройствах. Если автоматический вход в систему включен, любой, кто получает доступ к устройству пользователя по умолчанию, имеет доступ к его мини-приложениям.
Нетехнические угрозы в экосистеме TON
Децентрализованный характер экосистемы TON и простота использования естественным образом привлекают мошенников, и, по словам Хакена, «не существует серебряной пули для защиты пользователей».
Чтобы избежать нетехнического мошенничества в TON, людям следует проявлять осторожность при взаимодействии с неофициальными приложениями и приложениями, запущенными менее известными разработчиками.
По словам Стива Милтона, соучредителя и генерального директора криптокошелька Fintopio, один из способов избежать потенциальных фишинговых атак — проверить, есть ли у мини-приложений проверочный знак.
Telegram предлагает проверку общественных деятелей и организаций, чтобы пользователи могли легко идентифицировать официальные источники. Команда Telegram обычно проверяет ботов, а также официальные каналы или публичные группы.
Пример проверочного знака Telegram для популярной игры Hamster Kombat. Источник: Hamster Kombat.
«Проекты, прошедшие этот строгий процесс, такие как Fintopio, продемонстрировали приверженность прозрачности и надежности», — сказал Милтон.
Чеховской также предостерег от схем быстрого обогащения в Telegram, подчеркнув, что бесплатный сыр можно найти только в мышеловке. Он посоветовал:
«Всегда скептически относитесь к предложениям бесплатных денег. Если вы воспользуетесь подозрительной возможностью, лучше не рисковать своим основным криптокошельком и создать для этой цели новую учетную запись».
Чтобы получить дополнительные советы по обеспечению безопасности в TON и Telegram, пользователи также могут следовать соответствующим рекомендациям TON Foundation.
