トンビットヘビー｜2024 TON エコパノラマ＆セキュリティ調査レポート

● Telegram App Centreは、ツール、ユーティリティ、ゲームをワンストップで提供する場所であり、すべてTelegramエコシステム内に統合されています。

● Telegram Adsは、事実上あらゆるTelegramチャンネルで広告キャンペーンを実施し、何百万人ものユーザーにゲーム広告を配信できます。

● Telegram 内で直接通知を送信できるため、ゲーム内のネイティブプッシュ通知と比べて高い開封率を確保できます。

これらのツールは、プレイヤーをゲーム環境に積極的に参加させるように設計されており、開発者が活気のあるユーザーベースを維持するのに役立ちます。

高速で効率的なブロックチェーン

TONブロックチェーンは高速で知られています。手数料を低く抑えながら、毎秒10万件以上のトランザクションを処理できる。これらの機能は、分散型ゲームのパフォーマンスとスケーラビリティを維持する上で、特に高スループットのプレイヤーとのやり取りを処理する際に非常に重要です。

多様な収益化の機会

TONは、アプリ内広告や、取引・販売可能な非均質トークンの統合など、さまざまな収益化戦略を開発者に提供します。また、現実世界の経済原則を反映したゲーム内エコノミーの構築も可能です。これにより、開発者に多様な収益源を提供し、ゲームプロジェクトの財政的な実行可能性を高めることができます。

シンプルでアクセスしやすい

TONはユーザーフレンドリーでアクセスしやすいブロックチェーンであり、ゲーム業界で広く採用されるために不可欠です。重要です。

GameFi Web3の開発者やゲーマーにとって、TONはツールの完全なスイートを提供しており、分散型ゲームの世界への移行を目指す人にとって理想的です。

3.3.2分散型ゲームにおけるTONの使用例

TONブロックチェーンは、急速に活気ある分散型ゲームのエコシステムになりつつあります。ここでは、TONゲーム体験を定義している最も人気のある例をいくつか紹介します。

● Notcoin: クリックしてトークンを獲得するゲーム

● Catizen: 猫を育てて$$を獲得するエアドロップ型獲得ゲーム

● Catizen: 猫を育てて$$を獲得するエアドロップ型獲得ゲーム

● Fanton Fantasy Football: プレイヤーはサッカーチームを結成し、報酬を得る遊びながら稼ぐゲーム

1.strong>1.Notcoin

Notcoinはシンプルで楽しいクリック・トゥ・アーンのゲームで、そのシンプルなゲームプレイと面白い仕組みにより、Telegramですぐに人気となりました。

プレイヤーはクリックすることでトークンを獲得し、その成果はリーグランキングに記録されます。

プレイヤーはクリックすることでトークンを獲得し、達成するとリーグランキングに記録されます。

2.  Catizen

Catizen は、メタ宇宙、GameFi、AIの楽しい融合です。の要素を融合させた楽しいエアドロップ稼ぎゲームです。ゲームプレイでは、ネコをドラッグして繁殖させ、レベルアップして$CATSトークンを獲得します。また、釣りをすることでフィッシュトークンを獲得することができ、このフィッシュトークンはゲーム内のブーストやアップグレードに使用されます。

『Catizen』では、プレイヤーはブーストを購入することで、猫の繁殖を加速させたり、新しい猫を獲得したり、全体的なゲームプレイ体験を向上させたりすることができる。

プレイヤーがより多くのトークンを採掘すると、ブロンズ、シルバー、ゴールド、プラチナ、ダイヤモンドの各リーグに進み、達成度が反映されます。

3.ファントン・ファンタジー・フットボール

ファントン・ファンタジー・フットボール（Fanton Fantasy Football）は、ファントン・ファンタジー・フットボール（Fanton Fantasy Football）と統合した初のプレイ・トゥー・アーンのゲームです。Fanton Fantasy Footballは、Telegramと統合された初めてのゲームです。このゲームでは、プレイヤーは5人のサッカー選手（ゴールキーパー、ディフェンダー、ミッドフィルダー、ストライカー、交代要員）でチームを作ります。実際のサッカーの試合でのプレーヤーの成績によって、ゲームでの獲得ポイントが決まる。

プレーヤーは、ゴール、アシスト、セーブ、その他の重要な貢献など、フィールド上でのさまざまな行動によってポイントを獲得します。チームが最も多くのポイントを獲得したユーザーには、暗号通貨やNFTを含む貴重な賞品を獲得するチャンスがあります。

TONはTelegramとのシームレスな統合により、ゲームの公開を大幅に簡素化し、これまで以上に簡単にゲームを公開できるようになりました。これは高度なユーザー獲得・維持ツールと相まって、開発者に魅力的で収益性の高い分散型ゲーム体験を生み出す能力を提供します。しかし、この種のプロジェクトを開発する際、セキュリティリスクも同様に見過ごせない重要な点です。

4. TONエコセキュリティ研究

4.1TONで安全な開発を行う方法

TONで安全な開発を行うにはどうすればよいでしょうか？

スマート・コントラクトのセキュリティを確保するために、私たちは一連のセキュリティ対策を採用する必要があります。

説明: 契約の中に、特定の承認されたユーザーによって実行される必要がある重要なロジックや機密性の高い操作がある場合、攻撃者が機密性の高い操作を実行し、深刻な被害をもたらすことを避けるために、アクセス制御を適切に行う必要があります。

実践:

➢  どの操作にアクセス制御が必要かを決定する。

➢ メッセージの送信者をチェックすることで、実行するのに許可が必要な操作へのアクセスを制限します。

➢ 契約要件の変更に適応するために、アクセス制御ポリシーを定期的に見直し、更新する。

具体的な提案書は、

で見ることができます。https://github.com/ton-blockchain/TEPs/pull/180

https://github.com/ton-blockchain/TEPs/pull/181

2.メッセージ入力の検証

説明: スマートコントラクトにおける外部入力の適切な検証やフィルタリングの欠如は、悪意のあるユーザーや攻撃者が悪意のあるデータを入力することにつながり、安全でない動作や脆弱性につながる可能性があります。

実践:

➢  データ型の検証、境界条件のチェック、ユーザー入力のクリーンアップを含む、すべての外部入力の厳格な検証とフィルタリング

➢ エッジケースや偶発的な入力を含む、すべての可能な入力シナリオを考慮する。

➢ 入力検証ロジックを定期的に監査し、テストする。

3.ガス使用量のチェック

説明: 内部メッセージを処理する場合、送信者は通常ガス使用量を支払います。外部メッセージを処理する場合、契約はガス使用量を支払います。つまり、外部メッセージのガス使用には注意が必要です。コントラクトは常にガス使用量をテストし、すべてが期待通りに動作していることを確認し、コントラクト残高を枯渇させる脆弱性を回避する必要があります。

実践:

➢  開発中のガス使用量を監視し、最適化する。

➢ ガス制限を使用して、大量消費を防ぐ。

➢ さまざまなシナリオで、契約のガス消費量を定期的にテストする。

4.タイムスタンプ依存

説明：いくつかのスマートコントラクトの動作は、バリデータが操作できるブロックタイムスタンプに依存しています。例えば、バリデートするノードは、特定のトランザクションを選択的に取り込んだり除外したり、特定の目的のためにタイムスタンプを調整したりすることができる。このような行動は契約ロジックの操作につながり、セキュリティリスクをもたらす可能性がある。

実践:

➢ critical logic judgementsのためにブロックタイムスタンプに直接依存することは避けてください。

➢ どうしてもタイムスタンプを使わなければならない場合は、より信頼性が高く、制御不可能な方法を使うようにしてください。

➢ 時間が範囲内で変動することを可能にし、単一の時点への依存を減らす時間バッファメカニズムを使用する。

➢ 契約ロジックを定期的に見直し、タイムスタンプ操作の影響を受けないようにする。

5.整数のオーバーフロー

説明：整数のオーバーフローとアンダーフローは、変数の表現の範囲外の指数的な値の演算であり、不正な計算をもたらします。整数のオーバーフローは通常、加算、減算、乗算などの演算で発生する。これを放置しておくと、不正な残高計算や予期せぬ資金移動など、重大なセキュリティ問題に発展する可能性があります。

実践:

整数演算には安全な数学ライブラリを使用する。

➢ すべての数学演算の前後にオーバーフローチェックを追加する。

➢ 契約コードを定期的に監査し、すべての整数演算が保護されていることを確認する。

6.丸め誤差

説明：丸め誤差リスクとは、数値演算の精度制限や不適切な丸め方による計算結果の誤差を指します。特に通貨や高精度の値を扱う場合、丸め誤差は資金の損失や不公平な分配につながる可能性があります。

実践:

➢  通貨演算を扱うには、高精度数値のライブラリまたは固定小数点数値のライブラリを使用する。

➢ 数値演算ロジックを定期的にテストして検証し、精度が期待通りであることを確認する。

➢ 一貫性を確保するために、丸め方法をコード内で明確にラベル付けする。

7.サービス拒否

説明：サービス拒否リスクとは、スマートコントラクトの計算リソースが消費されたり、エラー状態がトリガーされたりして、コントラクトが正しく実行できなくなったり、エンドレス操作に陥ったりするリスクのことです。エンドレスオペレーションに陥ることである。これにより、正当なユーザーがコントラクトとやり取りできなくなったり、コントラクトの状態が更新されなくなったりする可能性があります。

実践:

➢  ループの数や再帰の深さを制限して、長時間実行されるオペレーションを避ける。

➢ Gas の不足によるトランザクションの失敗を避けるため、重要な操作の前に残りの Gas をチェックする。

➢ 効率性と信頼性を確保するために、契約ロジックを定期的に見直し、最適化します。

➢  トラブルシューティングと復旧のために、イベントログを使用して重要な操作を記録します。

8.ビジネスロジック

説明: ビジネスロジックの脆弱性とは、スマートコントラクトのビジネスプロセスにおける実装における設計上の欠陥や実装エラーを指し、状況によってはコントラクトのパフォーマンス異常を引き起こします。パフォーマンスの異常を引き起こす。これらの脆弱性は、悪意のあるユーザーによって悪用される可能性があり、資金の損失、データの改ざん、コントラクトの機能不全など、深刻な事態を引き起こします。ビジネスロジックの脆弱性は通常、コーディングエラーではなく、ビジネス要件やプロセスの誤解や不十分な実装です。

実践：

➢  ビジネス要件を深く理解・分析し、ロジックが正しく設計されていることを確認する。

➢ 定期的なコード監査とロジックの検証を行い、脆弱性を特定し、タイムリーに修正する。

➢ All possible business scenariosをカバーする包括的なテストケースを書く。

上記のセキュリティの実践を通じて、スマートコントラクトのセキュリティを大幅に向上させ、リスクを減らし、コントラクトの安定した運用とユーザーの資金の安全を確保することができます。

4.2TONエコシステムのセキュリティインシデントのレビュー

2024年、TONエコシステムで複数のセキュリティインシデントが発生し、そのセキュリティ上の課題が明らかになりました。以下は、いくつかの重要な出来事の詳細な説明、出来事の原因の分析、その影響と解決策、いくつかの典型的なセキュリティ脆弱性の目録です。

4.2.1一般的な攻撃の種類

TONエコシステムでは、2024年に、プロジェクトオーナーとユーザーの両方に何らかの影響を与える重大なセキュリティインシデントが多数発生しました。いくつかの反響とともに、これらの事件はブロックチェーン技術のセキュリティ面での脆弱性を明らかにしました。

➢ Incorrect Input Validation

説明：入力検証とは、入力データの完全性、正確性、安全性を検証することを指します。不正確な入力検証は、スマートコントラクトがユーザー入力を適切に検証し、クリーンアップできない場合に発生し、様々なタイプの攻撃に対して脆弱になります。このような脆弱性は、コントラクトのロジックを操作したり、悪意のあるデータを注入したり、予期せぬ動作を引き起こしたりするために悪用される可能性があります。適切な入力検証は、コントラクトが有効で期待されるデータのみを処理するようにすることで、悪用のリスクを低減します。

➢ Computation Errors

Description: Computation Errors（計算エラー）とは、システムによる特定の計算の実行において、予期せぬ動作や脆弱性を引き起こすエラーのことです。このようなエラーは、スマートコントラクトコードのロジックエラーやプログラミングエラーに起因することがあり、攻撃者がこれを悪用して計算を操作したり、コントラクトで優位に立ったりすることができます。

➢ Prophecy Machines/Price Manipulation

説明：価格操作とは、攻撃者が不当な利益を得るために市場価格を操作することを指します。TONエコシステムでは、攻撃者はDEX（分散型取引所）での取引量や注文帳簿を操作することで、特定のトークンの価格に影響を与え、利益を得たり、市場パニックを引き起こしたりすることができます。攻撃者はまた、予測マシンが報告したデジタル資産の価格などの外部情報に干渉することで、スマートコントラクトに誤った判断をさせる可能性もあります。

➢ Weak Access Control

説明: 弱いアクセス制御とは、リソースや操作に対するユーザーのアクセスを効果的に制限できず、その結果、権限のないユーザーが機密性の高い操作を実行できてしまうシステムを指します。TONエコシステムでは、権限のないユーザーが管理インターフェースにアクセスしたり、スマートコントラクトの設定を変更したり、ユーザー資産を盗んだりすることが含まれます。

➢ Denial of Service Attacks（サービス拒否攻撃）

説明：サービス拒否（DoS）攻撃とは、スマートコントラクトの計算リソースを消費したり、エラー状態を引き起こしたりする攻撃で、コントラクトが適切に実行されなかったり、エンドレス操作に陥ったりします。これにより、正当なユーザーがコントラクトとやり取りできなくなったり、コントラクトの状態更新ができなくなったりすることさえあります。TONエコシステムでは、攻撃者がDoS脆弱性を利用して悪意を持ってすべての資産をロックする可能性があり、これはプロジェクトとユーザーの両方の資金喪失に直結する。これは、プロジェクトの正常な運営に影響を与えるだけでなく、ユーザーの信頼を損なうことになります。

➢ Phishing Attacks（フィッシング攻撃）

説明：フィッシング攻撃はソーシャルエンジニアリング攻撃で、攻撃者が信頼できる実体のふりをしてユーザーをおびき寄せ、ユーザー名、パスワード、秘密鍵などの機密情報を提供させるものです。TONのエコシステムでは、フィッシング攻撃者は公式のチャンネルやパートナーを装い、不正な電子メールやメッセージを送り、ユーザーを騙して悪意のあるリンクをクリックさせたり、個人情報を提供させたりします。

これらのタイプの攻撃は、TONエコシステムのセキュリティ上の課題を明らかにするだけでなく、セキュリティ対策を強化し、ユーザーの警戒心を高めることの重要性を浮き彫りにしています。

影響を受けたプロジェクトの種類には、Lanuchpad、Staking、Dex、Lending、Gamingなどがあり、これらのインシデントは個々のプロジェクトの脆弱性を暴くだけでなく、エコシステム全体のセキュリティに対する深刻な挑戦でもあります。以下は、具体的なセキュリティインシデントや脆弱性をまとめたものです。

4.2.2セキュリティ脆弱性のインベントリ

1.あるプロトコルの誓約契約への攻撃により、大量のトークンが失われた

2.あるプロトコルの誓約契約への攻撃により、大量のトークンが失われた。="text-align: left;">日付：2024年5月22日

損失額：/

根本原因：パラメータの設定ミス

根本原因。align: left;">説明:

TONエコシステムの繁栄を祝う誓約イベントの後、プロトコルのパラメータの誤設定により、あるプロトコルの誓約契約がハッキング攻撃を受け、契約から大量のトークンが盗まれました。イベント発生直後、プロジェクトは誓約報酬収集機能を停止し、失われた307,264トークンを買い戻すために多額のUSDTドルを割り当てました。

攻撃後、プロジェクトは監査を実施するため、すぐに当社と連絡を取りました。当社は迅速に対応し、セキュリティ専門家チームを動員して、プロジェクトのコアコードの包括的かつ詳細なセキュリティ監査を実施することで、その専門性を示しました。当社のセキュリティ専門家は、リスクの低い問題を6つ特定しました。トンビットのセキュリティ専門家は、リスクの低い6つの問題を特定し、直ちにプロジェクトチームと詳細なコミュニケーションを行いました。豊富な経験と専門的な技術スキルを持つトンビットは、問題に対する具体的な解決策を提供するだけでなく、契約のセキュリティと安定性を確保するために、チームがすべての修正を迅速に完了できるよう支援しました。

TonBitの監査で見つかった設定関連の問題点:

解決策: パラメータ設定を変更する

2.ハッカーがウォレットを使い、制御されたコメントメッセージを表示してユーザーを欺いた

日付：2024年5月10日

根本的な原因：ウォレットが取引を行う際に表示されるコメント情報が、ユーザーに誤解を与える可能性がある

説明：

ウォレットが取引を行う際に表示されるコメント情報が、ユーザーに誤解を与える可能性がある。align: left;">TONで送信メッセージを処理する際にコメントを追加することは可能ですが、これらのコメントを表示する際のいくつかのウォレットのインターフェースのUIデザインは、誤解を招く可能性があります。この設計上の欠陥はハッカーに悪用されており、ハッカーはTRANSFERSメッセージのコメント内容を操作することで、取引プロセス中にユーザーに偽の情報を表示することができます。

解決策：

この問題に対処するため、ウォレットアプリはこれらのメッセージを表示する際に目立つ注釈を追加し、ユーザーに信憑性がないことを思い出させる必要があります。さらに、ウォレット開発チームは、取引情報の表示における透明性と信頼性を確保するために、UIデザインを改善すべきである。同時に、ユーザーは不審な取引情報を見極め、警戒する必要があります。

さらなる対策：

TonBitは、情報の信頼性を確保するため、ウォレット開発チームが注釈付き取引情報を表示する際に、注釈付き情報のソース検証など、複数の検証レイヤーを導入することを推奨します。さらに、ユーザーが潜在的な詐欺行為を特定し、防止できるよう、定期的なユーザー教育やセキュリティに関するヒントを発行しています。技術的手段とユーザー教育を組み合わせることで、このようなセキュリティインシデントの発生を効果的に減らすことができる。

3.ブックパッドは裏口契約を使って不正に資金を獲得し、その資金を持ち逃げした

時期：2024年4月15日

3.

損失額：74,424 TON

根本的な原因：BookPadは裏口契約を使ってユーザーの資金を吸い上げ、その後逃げ出した

説明。

BookPadはバックドアで非オープンソースのスマートコントラクトをリリースし、プレセールキャンペーンを開始しました。十分な資金を受け取った後、彼らは契約内のバックドアを使って資金を抜き取り、すぐに資金を持ち逃げしました。

解決策：

このようなことが二度と起こらないように、ユーザーはプロジェクトに投資する前に、そのプロジェクトについてできるだけ多くの情報を収集し、オープンソースで厳しいセキュリティ監査を経たプロジェクトを選ぶべきです。

TonBitは、ユーザーが以下に特に注意を払うことを推奨します:

1.プロジェクトのオープンソース化: スマートコントラクトのコードがオープンソースであることを確認し、独立したセキュリティ専門家が調査して、隠れた脆弱性や悪意のあるコードがないことを確認できるようにします。または悪意のあるコードがないことを確認してください。

2.セキュリティ監査：信頼できるセキュリティ監査人による監査を受けたプロジェクトを選びましょう。セキュリティ監査は、契約の潜在的な脆弱性を特定し修正することで、より一層の保証を提供します。

3.プロジェクトのバックグラウンドチェック：チームメンバーのバックグラウンド、信頼性、実績を調査する。透明性があり、評判の良いプロジェクトパートナーは、より信頼できます。

4.コミュニティからのフィードバック：プロジェクトに対するコミュニティからのフィードバックに注目し、議論に参加することで、プロジェクトの評判や潜在的なリスクを理解する。

さらなる対策：

TonBitは、TONエコシステムにより厳しい規制と審査メカニズムを導入し、新しいプロジェクトを適格に審査し、安全基準を満たすようにすることを提案しています。さらに、公開コントラクトコードベースを設定し、審査済みのコントラクトのみを使用できるようにすることもできる。これにより、ユーザーの資金が盗まれるリスクを大幅に減らし、TONエコシステム全体のセキュリティと信頼性を高めることができる。

4.ハッカーがフィッシングリンクを偽装して資金を詐取

時期：2024年4月26日

損失額：/

根本原因：ハッカーによるフィッシング攻撃

説明：

ハッカーはNFTのプロジェクトを偽造し、公式資金を偽造するために使用しました。プロジェクトを偽造し、それを使ってTIDE Coin (USDT)の公式ウェブサイトを偽造しました。ユーザーはこの偽のTIDECOIN公式ウェブサイトに入ると、機密情報を入力するよう誘導され、すべてのUSDTをハッカーの口座に送金します。このようにして、ハッカーは多くのユーザーを騙し、資金を危険にさらすことに成功しました。

解決策：

同様のフィッシング攻撃を避けるため、ユーザーは見慣れないウェブサイトを訪問する際には、ドメイン名の真偽を確認するために以下の手順を踏む必要があります：

2. 公式ソースからリンクを取得する：常に公式ソース（公式ソーシャルメディア、アプリ、お知らせなど）から正しいドメインリンクを取得し、信頼できないソースからのアクセスを避ける。

3. セキュリティ証明書の確認：ウェブサイトのSSL/TLS証明書が有効であること、ブラウザのアドレスバーにセキュリティロックマークが表示されていることを確認してください。セキュリティロックマークをクリックして詳細を表示し、証明書が信頼できる認証機関から発行され、ドメイン名と一致していることを確認してください。

4. ツールアシスト: ブラウザのフィッシング対策プラグインやセキュリティプラグインを使用して、偽のウェブサイトを特定し、ブロックします。VirusTotalやPhishTankのようなサービスでウェブサイトの正当性を確認するなど、オンラインツールやサービスを使ってウェブサイトのセキュリティや信頼性をチェックしましょう。

5.教育と意識向上：ユーザーのセキュリティ意識を高め、最新のフィッシングの手口や予防策に関するオンラインセキュリティ教育を定期的に行う。特に、新興のNFTプロジェクトや暗号通貨取引プラットフォームについては、利用者は警戒を怠らず、検証されていない情報を信用しないようにする必要があります。

さらなる対策：

TonBitは、ユーザーがフィッシング攻撃を特定し回避できるよう、公式チャンネルを通じてセキュリティ警告やガイドを発表するなど、TONエコシステムにさらなるセキュリティ教育や予防措置を導入することを提案しています。攻撃を回避することができる。同時に、新しいプロジェクトやウェブサイトの審査を強化し、その正当性と安全性を確保し、ユーザーにより安全な環境を提供する。

5.プロジェクトオーナーを装ったハッカーがテレグラムでフィッシング詐欺を行っている

日時：2024年2月4日

損失額: /

根本的な原因: Ton_fishプロジェクトの当事者を装ったハッカーが、資金を詐取するためにテレグラムに偽のエアドロップを投稿した。

概要：

Ton_fishプロジェクトチームを装ったハッカーは、Telegramグループに偽のエアドロップを投稿し、ユーザーを騙して参加させました。ソーシャル・エンジニアリングのテクニックと高度に模倣されたアカウントを使って、ユーザーの信頼を得ることに成功した。ハッカーたちは公式アカウントの名前、アバター、投稿スタイルを模倣し、ユーザーにメッセージが本物であると信じ込ませていた。いったん被害者が彼らとやりとりすると、フィッシング・サイトに誘導されたり、ハッカーが管理する口座に直接送金するよう求められたりして、最終的に資金を失うことになる。

解決策：

このような詐欺行為を防ぐため、ユーザーはTelegramなどのソーシャルメディア・プラットフォームを利用する際に、見分け方を改善し、資金を守るために以下の手順を踏む必要があります：

このような詐欺行為を防ぐため、ユーザーは見分け方を改善し、資金を守るために以下の手順を踏む必要があります：

このような詐欺行為を防ぐため、ユーザーは以下の手順を踏む必要があります：

このような詐欺行為を防ぐため、ユーザーは見分け方を改善し、資金を守るために以下の手順を踏む必要があります。"text-align: left;">1. 複数チャンネルによる情報の検証：エアドロップやその他の活動に参加する前に、利用者は複数の公式チャンネル（公式ウェブサイト、公式ソーシャルメディアアカウント、告知など）を通じて情報の真偽を確認し、単一の情報源に頼ることを避けるべきです。

2.アカウントの真偽を確認する：ユーザーは、投稿するアカウントの真偽を再確認し、アカウントが作成された時期、発言内容、やり取り方法に注意を払う必要があります。公式アカウントは通常、作成された歴史が長く、フォローするファンの数が多いのに対し、偽アカウントは作成期間が短く、交流が少ないなどの特徴があります。

3. 見慣れないリンクをクリックしない：ユーザーは用心深く、見慣れないリンクや怪しいリンクをクリックしないようにしましょう。安全なブラウザのプラグインやオンラインツールを使って、リンクの安全性をチェックすることができます。

4. 公式に直接確認する：不審な情報に遭遇した場合、ユーザーは公式から提供された公式連絡先を通じてプロジェクトに直接確認し、信頼できない第三者ルートによる検証は避けるべきです。

5.セキュリティ意識の向上：利用者は定期的にサイバーセキュリティ教育を実施し、最新の詐欺手段と予防策を理解する必要がある。特に暗号通貨やブロックチェーン関連の活動に参加する際は、高度な警戒を維持し、検証されていない情報を信用しないようにする。

6. 二重認証の使用：アカウントのセキュリティをさらに保護するために、ユーザーはテレグラムなどのソーシャルプラットフォームが提供する二重認証機能を有効にし、アカウントのセキュリティ層を増やすべきである。

4.3TONエコシステムのプロジェクト関係者がセキュリティ監査を行う方法

TONエコシステムのプロジェクト数が増加するにつれて、セキュリティ監査はますます重要になっています。しかし、それに伴うセキュリティ問題も増加しています。プロジェクトのセキュリティを確保するためには、包括的なセキュリティ監査を実施することが重要です。

セキュリティ監査の一般的な手順は以下のとおりです：

1.プロジェクトの初期評価

プロジェクトの背景と要件を理解し、監査範囲とバージョンを確認し、プロトコルに慣れる。プロトコルのアーキテクチャに精通し、詳細な監査戦略を策定します。

2.テストを自動化する

静的・動的解析ツールを使って、プロジェクトコードの包括的なテストを行い、契約の機能やセキュリティを損なう可能性のある問題を特定する。

3.人的監査

セキュリティ専門家チームは、潜在的なエラーや脆弱性を特定するために、コードの一行一行を入念に検査し、プロジェクトチームとの緊密なコミュニケーションを維持し、問題点について定期的にフィードバックを提供する。

4.初期監査報告書

監査人は、コードの欠陥やその他の問題をまとめた初期監査報告書を起草し、プロジェクトにフィードバックします。プロジェクトチームは、監査の問題点を確認し、有効な問題点に変更を加え、監査人にレビューを通知します。

5.最終監査報告書

発見事項と修正勧告を記載した詳細な監査報告書を提出する。プロジェクトチームとコミュニケーションをとり、すべての問題に効果的に対処できるようにする。

6.継続的な「監視」と「支援」

新たなセキュリティ問題を適時に発見し対応するために、セキュリティチェーンに沿った継続的なセキュリティ監視を行う。長期的なプロジェクトセキュリティを維持するために、定期的なセキュリティレビューを実施する。

TonBitには、深い技術的背景と豊富な現場経験を持つブロックチェーンセキュリティの専門家とシニア開発者のチームがあります。チームメンバーはブロックチェーンセキュリティ分野で長年の経験があり、潜在的なセキュリティリスクを正確に特定し、解決することができます。以下は、トンエコにおけるトンビットの監査プロセスです。

ユーザーがTONとTelegramで安全を保つ5つの方法

TONとTelegramのエコシステムは急速に成長し、現在では3800万以上のアクティブアカウントがあります。それに伴う注目は、より大きなリスクをもたらします。

詐欺師や悪意のある行為者は、流入する初心者ユーザーをターゲットにしており、最も安全なエコシステムであっても、潜在的なリスクについて警戒することが重要です。最も安全なエコシステムであっても、潜在的なリスクに対する警戒は依然として重要です。

5.1よくある詐欺

1. 緊急の友人が必要：詐欺師は友人や家族を装い、緊急の資金要求をしています。必ず身元を確認してください。

2. フィッシング：偽のウェブサイトが本物のウェブサイトを模倣し、ログイン情報を盗みます。URLを確認し、出所不明のリンクをクリックしないようにしましょう。

3. 投資詐欺：これらは暗号通貨の分野では非常に一般的で、証拠なしに高いリターンを約束します。もっと深く調べてみてください。もしそれがあまりにも良すぎると思えるなら、それはおそらく詐欺でしょう。

4. 偽のアンケート：個人情報を盗むためにアンケートに参加すると報酬がもらえるというもの。見知らぬアンケート参加者に詳細を提供するのは避けましょう。

5.  偽の求人: 魅力的な求人広告で個人情報、アプリのダウンロード、支払いを要求する。公式ルートで確認すること。

6.  クラシファイド広告詐欺：偽の広告から偽のTelegramボットに誘導され、情報を盗む。

7. 出荷額を引き上げる: グループが利益のために暗号通貨の価格を操作し、他の人に損失を与える。常に投資推奨を調査し、検証すること。

8. ロマンス詐欺：詐欺師が金銭や個人情報を要求するオンライン上の関係。ネットで知り合った人にお金を要求されたら要注意です。

5.2Toncoinのピラミッド詐欺に注意

TelegramがTONブロックチェーンをサポートしたことで、残念なことに、疑うことを知らないユーザーを利用しようとする詐欺師が数多く集まってしまいました。を引き寄せている。

1. セットアップ：詐欺師は、友人や連絡先から来たと思われる「独占的なお金儲けプログラム」へのリンクを送ります。彼らは非公式Telegramボットに参加するようユーザーを誘導し、暗号通貨を保管するためだと偽っています。

2. 投資：ユーザーは、正規のチャネル（ウォレット、P2Pマーケットプレイス、暗号通貨取引所など）を通じてToncoinを購入するよう指示され、これが偽物の信頼性を高めます。購入後、ユーザーはToncoinを詐欺ボットに送金しなければなりません。

3. アクセラレーター：被害者は別のボットを通じて「アクセラレーター」を購入させられます。この段階でユーザーは暗号通貨を失う。

4. リクルートメント：詐欺師は紹介プログラムを宣伝し、ユーザーにプライベートテレグラムグループを作成し、友人を招待するよう求める。彼らは紹介者1人につき25トンの固定配当と、紹介者が購入したアクセラレーターに基づく手数料を約束する。

実際には、これは古典的なねずみ講だ。詐欺師が儲かる一方で、他の人は投資を失う。

5.3オンライン詐欺を回避する方法

オンライン詐欺から身を守り、Telegramアカウントを保護するには、以下の基本的なステップに従ってください：