本文 Hash( SHA1 ): a3797a7829093777932a7a8c66e66358bfd8e356
編號:鏈源 Security Knowledge No.016
在 Meme 計畫和生態融合的成長過程中,Meme 一直被視為生態熱度的溫度計。公鏈生態與Meme 是相輔相成的,在一定時期內,整個生態的關注度和流量往往會集中在某個Meme 上,Meme 的名聲大噪,代表著公鏈團隊、公鏈專案、公鏈用戶等各方共同努力的結果。未來,TON 上的Meme 專案可能會更為突出,基於Telegram 的用戶群體,TON 在這一點上具有其他公鏈無法比擬的天然優勢,Meme 以強大的社區文化和廣泛的用戶基礎為特色,這兩者帶來的交易熱情和流動性可以迅速提升代幣項目的市值。 TON 的Notcoin 就是基於Meme 特徵實現的成功例子,雖然Notcoin 本質上屬於GameFi,但由於其廣泛的用戶群體和病毒式傳播,Notcoin 也被廣泛認為是Memecoin。隨著Notcoin 的成功,許多模仿它的代幣也隨之湧現。然而,這種現象級的傳播往往伴隨著大量的安全問題,例如釣魚網站冒充專案名義騙取使用者的信任。在享受樂趣的同時,大家也需保持謹慎。
常見安全問題:
合約漏洞:
智能合約是meme 幣專案的核心,一旦出現漏洞,可能會導致代幣被盜或濫發。以下是一個常見的漏洞-重入攻擊(Reentrancy Attack)的範例程式碼:
在上述程式碼中,withdraw 函數的外部呼叫 msg.sender.call{value: _amount}() 有潛在的重入攻擊風險。在攻擊場景下,攻擊者可以在接收資金後,再次調用 withdraw,反覆提取資金,直至合約內的餘額被抽乾。
權限管理不當:
許多meme 幣項目在權限管理上存在不足,關鍵操作如鑄幣和銷毀代幣的權限可能沒有有效控制。例如:
在這個範例中,如果所有者的私鑰洩漏或管理不當,攻擊者可能會利用此權限鑄造大量代幣,破壞市場穩定。
使用者安全指南手冊:
錢包:
由於 TON 並不是 EVM 公鏈,因此需使用獨立的皮夾。其中,最多人使用的是建立在 Telegram 小程式裡的 Wallet 以及 Tonkeeper,兩者皆由 TOP LAB 開發。不同之處在於Tonkeeper 是自託管錢包形式,需要自行保管助記詞,支援Chrome 外掛程式或手機APP 應用操作;而Wallet 則內嵌在Telegram 中,以小程式方式運作,為託管錢包跟隨Telegram 帳號,但需通過KYC 身份驗證才能使用。此外,Wallet 現在推出了TON SPACE 功能,使錢包功能更完整,可以自行保管助記詞,並支援TON NFT 或各種Jettons 代幣(類似於ERC 20 / SPL Token,Wallet 的特點在於可以更方便地與各種Telegram 原生小程式互動使用。
跨鏈橋和中心化交易所:
準備好錢包後,可以選擇從官方跨鏈橋或第三方橋將資金轉入TON 鏈
官方橋:https://bridge.ton.org/
LayerSwap:https://layerswap.io/app
Symbiosis:https://app.symbiosis.finance/
Rubic:https://app.rubic.exchange/
而除了使用跨鏈橋外也有許多中心化交易所已經支持了$TON 現貨或是$USDT on TON 的訪問
TON:OKX/ Bybit/ GATE/ MEXC/ Kucoin …
USDT on TON:Binance/ OKX/ Bybit/ GATE/ MEXC/ Kucoin …
鏈上應用:
DEX: STON.fi, Dedust.io
聚合器: Mars.TonPlanets
LaunchPad: Tonraffles
流動性質押LSD: TonStakers $tsTON, Bemo $stTON
衍生性商品永續合約: Storm
NFT 市場+借貸: GetGems, Daolama
鏈上瀏覽器: TONViewer
安全檢查工具:
Ton 生態目前主流的檢查工具包括:
Ton Inu 檢查工具:Tg Bot,輸入合約位址後檢查 LP 是否上鎖、管理員權限是否放棄;
TON MINTER:網頁工具,可檢查是否放棄管理員權限。因為安全檢查工具目前發展仍不全,並不能 100% 保證代幣安全性,用戶需注意投資金額。
用戶防範措施:
我們鏈源安全團隊建議大家:
使用安全審計過的合約庫:建議使用OpenZeppelin 等經過審計的標準合約庫,這些庫經過廣泛的社區審查和測試,可以顯著減少合約中的安全漏洞。
權限控制與多重簽章機制 :嚴格控制關鍵操作的權限,多重簽章機制可確保在執行敏感操作時需要多方授權,進而降低單點失誤的風險。
查看專案安全審計 :對智慧合約進行安全審計是發現潛在漏洞的重要手段。使用者應選擇有信譽的第三方安全公司進行過審計的項目。
實施即時監控機制 :透過區塊鏈監控工具,即時監控智慧合約的交易和行為異常。一旦偵測到異常活動,如異常大額交易或頻繁的失敗交易,可以及時報警並採取應對措施。
結語
Meme 專案在區塊鏈生態中扮演了重要的推動作用,但同時也帶來了許多安全挑戰。無論是開發者或用戶,都應高度重視安全問題。鏈源安全團隊建議使用者採取適當的防範措施和使用安全工具,可以在享受Meme 專案的樂趣的同時,保護自己的資產和資料安全。隨著區塊鏈技術的發展和社群的共同努力,我們相信 ton 生態的 Meme 專案的未來將更加光明。
鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數位資產。同時,我們致力於為產業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支援服務。
感謝各位的閱讀,我們將持續專注分享區塊鏈安全內容。
