TON 生态安全指南：从钱包选择到资产保护的全面指导

作者：Keystone 中文

今年以来，TON（The Open Network）收获了众多的关注。作为和 Telegram 深度绑定的公链，庞大的用户基础，新项目的造富效应使得用户纷纷想要进入 TON 生态，寻找属于自己的 Alpha。

俗话说：有人的地方就有江湖，有流量的公链，黑客也会像鲨鱼闻到血腥一样围过来。作为一个技术特点不同于 EVM 的公链，在 TON上交互的时候可不能沿用 EVM 上的安全习惯。

作为积极推进与 TON 生态集成的硬件钱包厂商，我们整理了一些安全上的建议，帮助大家安全地拥抱 TON 生态。🤗

一、正确选择钱包

由于技术实现不同，大家习惯使用的 EVM 钱包如 Metamask、Rabby 等目前都不支持 TON，因此我们需要另外安装支持 TON 的钱包。

此时一个安全性高的钱包对于我们来说至关重要，我们可以从钱包是否开源，是否支持硬件钱包等方面来评估哪款钱包更适合自己，而特别要注意的就是该钱包对于交易信息的解析是否全面到位。

举个例子，在面对 TON 上的钓鱼网站，当黑客想转走我钱包里的某些资产时，钱包软件 OpenMask 和TonKeeper @tonkeeper的交易解析结果大相径庭，如下图所示：

在OpenMask看起来，这就是一笔正常的「领取空投」交易，但事实果真如此吗？

同样一笔交易，Tonkeeper却为我们解析展现了更多的信息，似乎钓鱼网站正试图盗走钱包中的 FISH 代币， 黑客的行为成功地被Tonkeeper揭示出来了。

相比较之下，你觉得使用哪款钱包的用户更容易上当？

安全性更好的钱包，犹如一面「照妖镜」，可以有效降低用户在识别钓鱼诈骗上的焦虑。近期 Keystone 也成功地与 TonKeeper 完成集成，相信硬件钱包的加入，能让用户在 TON 上的安全性成吨提高。

二、防范常见的钓鱼形式

和其他公链一样，钓鱼也是目前 TON 上最常见，受害者最广泛的攻击形式。借此机会我们来了解一下 TON 上黑客都有哪些钓鱼手段：

1.零金额转账钓鱼

黑客通过批量发送 0 金额的 TON 到许多地址上，再对转账交易备注诸如“领取  1000 TON 的空投，访问 “http://xxxxx.com ” 等内容，“涉世未深”的用户可能因此上当受骗，访问该钓鱼网站，并进行了所谓的领取交互，结果被黑客偷走了宝贵的资产。

2.NFT 空投钓鱼

除了代币转账，黑客也会尝试空投 NFT 到用户钱包进行钓鱼，NFT 上除了好看的图片外，同样也会留下钓鱼网站的网址对用户进行诱骗。

比如下面这个案例，在空投给用户的 NFT 上留有假冒的 fragment 市场链接。当用户进入假冒的市场并试图将空投的 NFT 挂单卖出时，便掉进了黑客的陷阱，不仅没能卖出 NFT，反而被转走了其他资产。

3.警惕 TON 特有的「交易附言」功能

TON 上的转账交易都有一个可选的 comment 字段，我们把它理解成银行转账时的交易附言。这本来是方便用户的功能，却也被别有用心的钓鱼网站利用。

如下图所示，黑客试图让用户将钱包中的 FISH 代币转出，并在交易附言中写上"Received +xxx,xxx,xxx FISH"的字样，误导用户以为自己将获得比现有数量更多的 FISH 代币，从而确认交易。

在此我们提醒各位，不要相信交易附言中的任何内容，也希望在未来各个钱包软件能为交易附言做出更明确的安全提示。

三、利用区块链浏览器识别诈骗钓鱼

在以太坊上我们常用 etherscan 查看链上信息，而 TON 上对应的工具有 tonscan 和 tonviewer。

通过比较二者在安全方面的功能，可以发现 tonviewer 在识别诈骗钓鱼这一功能上更胜一筹：不仅针对疑是钓鱼的交易给出了"SUSPICIOUS"的可疑提示，对于空投的诈骗 NFT，也加上了 SCAM 字样，防止用户上当。

而 tonscan 仅仅展示了链上信息，缺少一些安全相关的提示。我们建议刚刚进入 TON 生态的用户，优先使用 tonviewer 来查看钱包地址的信息。

四、使用硬件钱包进一步保证安全

在任何公链上，使用硬件钱包将助记词脱网，并对交易进行二次验证，都是有效保护资产的安全手段。Keystone 通过与 TonKeeper 钱包集成，使得 TON 生态用户也能够享受硬件钱包带来的安全性。针对硬件钱包用户，我们有以下建议：

• 将大额资产使用硬件钱包保存

• 利用 Keystone 的 3 组助记词，将资产分开多个钱包存放，防止单点风险

• 仔细查看 Keystone 显示的交易信息，避免签名钓鱼交易

在区块链世界里，机遇往往与风险并存。随着 TON 生态的壮大，在寻找优质项目投资的同时，也不要忘记保护自己的资产安全。Keystone 也愿与 TON 生态各方一起持续 BUIDL，共建一个安全的交互环境。