موج جدید کلاهبرداری‌‌ها در شبکه تون؛ تلگرام امنیت را تضمین نمی‌کند!

شبکه اوپن نتورک (TON)، بلاکچین اختصاصی پیامرسان تلگرام در سال ۲۰۲۴ رشد بی‌سابقه‌ای را تجربه کرده و تعداد کیف پول‌های فعال آن از حدود یک میلیون ماه ژانویه به بیش از ۹ میلیون در ماه ژوئن رسیده است. به گزارش میهن بلاکچین، با این حال، ورود گسترده کاربران جدید به شبکه TON از چشم کلاهبرداران دور نمانده است. براساس گزارش اخیر شرکت امنیت سایبری اسلومیست (SlowMist)، در حال‌حاضر ریسک گسترده‌ای در مورد افزایش حملات فیشینگ در اکوسیستم شبکه د اوپن نتورک وجود دارد. از آنجایی که بنیاد TON در پیش‌بینی بلندپروازانه‌ای انتظار دارد تا سال ۲۰۲۸ به ۵۰۰ میلیون کاربر برسد، حالا تأمین امنیت کاربران در برابر حملات ممکن است بدون اینکه مانع پذیرش سریع اکوسیستم د اوپن نتورک شود به سؤال اصلی بسیاری تبدیل شده است. در این مطلب که برگرفته از مصاحبه‌هایی با افراد و شرکت‌های مختلف از جمله بنیاد تون است، ماهیت خطرات موجود در اکوسیستم شبکه د اوپن نتورک بررسی شده و راهکارهایی برای ایمن نگه‌داشتن دارایی کاربران ارائه شده است.

تلگرام مسئول امنیت مینی‌اپلیکیشن‌هایش نیست!

هنگام بررسی خطرات موجود در اکوسیستم شبکه TON، باید این را در ذهن داشت که تلگرام مسئول امنیت مینی‌اپلیکیشن‌های این شبکه نیست. تعداد مینی‌اپلیکیشن‌های تلگرام مثل نات‌کوین و همسترکامبت در چند ماه گذشته به‌طور چشمگیری افزایش یافته است. با این حال، استپن چخوفسکوی (Stepan Chekhovskoi)، مدیر اجرایی شرکت امنیت سایبری هکن (Hacken) می‌گوید تمامی این مینی‌اپلیکیشن‌‌ها از بهترین استانداردهای امنیتی برای اطمینان از ایمنی دارایی کاربران استفاده نمی‌کنند. چخوفسکوی؛ با تأکید بر اینکه امنیت کاربران در مینی‌اپلیکیشن‌‌ها به‌عهده تیم توسعه است نه تلگرام، افزود:

با این حال، تلگرام باید از امنیت پلتفرم و اینکه کاربران می‌توانند امنیت حساب خود را به‌طور یکپارچه تأمین کنند باید اطمینان حاصل کند. اما هیچ مسئولیتی در قبال امنیت مینی‌اپلیکیشن‌هایی که توسط شخص ثالث ایجاد شده است ندارد. سخنگوی بنیاد تون نیز، تأکید کرد که تنها کاربران و پروژه‌ها، مسئول امنیت خود هستند. از آنجایی که بلاکچین TON منبع‌باز و بدون مجوز است، کاربران و پروژه‌ها باید مراقب باشند که امنیت خود را هنگام تعامل با شبکه تضمین کنند.

بنیاد تون: تحت‌تأثیر اقدامات امنیتی برخی مینی‌اپلیکیشن‌‌ها قرار گرفته‌ایم

در همین حال، بنیاد تون خاطرنشان کرده که اقدامات امنیتی که توسط مینی‌اپلیکیشن‌های تلگرام اتخاذ می‌شوند را تشویق می‌کند. یکی از نمایندگان این بنیاد در این رابطه گفته است: ما تحت تأثیر اقدامات بسیاری از پروژه‌ها قرار گرفته‌ایم چراکه نشان می‌دهد آن‌ها به دنبال محافظت از وجوه کاربران خود هستند. به‌عنوان مثال، کیف پول تان کیپر (Tonkeeper)، یکی از محبوب‌‌ترین کیف پول‌‌ها در شبکه TON امکان ارزیابی صحت و فیک نبودن توکن‌های NFT توسط کاربران را فراهم کرده است. این نماینده در صحبت‌هایش بر اهمیت وجود یک جامعه فعال و متعهد برای مقابله با حملات مخرب تأکید کرد و گفت: کاربران باید همیشه هنگام تراکنش‌های بلاکچینی مراقب باشند. لطفا به خاطر داشته باشید که تمام تراکنش‌های بلاکچینی غیرقابل برگشت هستند. ما قویا به کاربران خود توصیه می‌کنیم روی لینک‌های مشکوک کلیک نکنند و قبل از امضای هر تراکنش، تمام جزییات آن را بررسی کنند. چخوفسکوی؛ می‌گوید: مینی‌اپلیکیشن‌های تلگرام از نظر امنیتی «هیچ تفاوتی» با برنامه‌های ساخته شده روی پلتفرم‌های دیگر ندارند و باید همان اقدامات امنیتی وب و رمزنگاری را اعمال کنند. به گفته وی، این اپلیکیشن‌‌ها دو راه برای مدیریت کلیدهای خصوصی کاربران دارند که می‌توان آن‌ها را با کیف پول‌های امانی و غیرامانی مقایسه کرد: اکثر اپلیکیشن‌های تلگرام، هستند، بنابراین مثل هر کیف پول امانی دیگری باید از رمزهای عبور اضافی، مکانیسم‌های تأیید هویت دو عاملی (۲FA) و موارد دیگر استفاده کنند. برنامه‌های غیرامانی نیز باید از رمزگذاری قوی برای ذخیره‌سازی کلیدهای خصوصی اطمینان حاصل کنند. اگر یک اپلیکیشن به رمز عبور ۸ کاراکتری شامل اعداد و کاراکترهای خاص یا حداقل اثر انگشت نیاز نداشته باشد، به این معنی است که کلید خصوصی به‌طور ایمن رمزگذاری نشده است.

تهدیدات غیرفنی در اکوسیستم TON

به گفته شرکت هکن، ماهیت غیرمتمرکز اکوسیستم TON و سهولت استفاده از آن به‌طور طبیعی کلاهبرداران را به ماهی گردن از آب گل آلود ترغیب می‌کند. در سمت دیگر، عملا هیچ سپر محافظتی درستی برای محافظت از کاربران وجود ندارد. برای جلوگیری از کلاهبرداری‌‌ها در شبکه TON، کاربران باید هنگام تعامل با برنامه‌های غیررسمی و برنامه‌هایی که توسط توسعه‌دهندگان کمتر شناخته‌شده یا ناشناس راه‌اندازی شده‌اند احتیاط کنند. به گفته استیو میلتون (Steve Milton)، هم‌بنیانگذار و مدیرعامل کیف پول فینتوپیو (Fintopio)، یکی از راه‌های جلوگیری از این کلاهبرداری‌‌ها و حملات فیشینگ، بررسی تیک آبی مینی‌اپلیکیشن‌‌ها در تلگرام است.

مثالی از مینی‌اپلیکیشن‌هایی که تیک آبی تلگرام را گرفته‌اند

به گفته میلتون؛ پروژه‌هایی که موفق به دریافت تیک آبی تلگرام می‌شوند، تعهد خود به شفافیت و تأمین امنیت کاربران را نشان داده‌اند. در سمت دیگر، چخوفسکوی؛ به کاربران در رابطه با پروژه‌هایی با وعده‌های یک‌شبه پولدار شدن هشدار داده و می‌گوید «پنیر رایگان فقط در تله موش پیدا می‌شود». همیشه نسبت به وعده‌های پول رایگان شک داشته باشید. اگر فرصت مشکوکی را پذیرفتید، بهتر است از کیف پول اصلی خود استفاده نکنید و یک آدرس جدید بسازید.

بنیاد تون چه می‌گوید؟

بنیاد تون به منظور محافظت از کاربران در برابر حملات احتمالی، دستورالعملی در بلاگ خود منتشر کرده و در آن شیوه‌های جلوگیری از حملات مخرب را بررسی کرده است. از جمله پیشنهادهای بنیاد تون می‌توان به موارد زیر اشاره کرد:

• فعالسازی تأیید دومرحله‌ای در تلگرام:در تنظیمات تلگرام به Privacy and Security > Two-Step Verification  بروید تا امنیت حساب خود را افزایش دهید.
• تأیید هویت مخاطبین:مراقب پیام‌هایی که از افراد ناشناس به شما ارسال می‌شوند و اطلاعات شخصی شما را درخواست می‌کنند باشید.
• بررسی منظم دستگاه‌های فعال در حساب تلگرام:‌ به‌طور منظم از طریق مسیر Settings > Devices > Active Sessions دستگاه‌های فعال در اکانت تلگرام خود را بررسی کنید.
• گزارش موارد مشکوک:اگر مورد مشکوکی دیدید حتماً به تیم پشتیبانی تلگرام گزارش کنید.
• دوری از وعده‌های یک شبه ثروتمند شدن:از طرح‌های کسب درآمد سریعی که حتی توسط دوستان یا خانواده تبلیغ می‌شوند دوری کنید.
• هرگز ارزهای دیجیتال خود را به کیف پول‌های ناشناس منتقل نکنید:همیشه پیش از انتقال رمزارز، از هویت مقصد مطلع شوید تا در دام کلاهبرداری‌‌ها نیفتید.