长期以来,Telegram 以其对隐私和用户匿名性的坚守而闻名,这使它成为形形色色社群所青睐的平台。然而,正是这种开放性,也吸引了心怀恶意之人。随着 Pavel Durov(帕维尔·杜罗夫)更广阔生态系统的发展——尤其是随着 TON(The Open Network)及其技术进步的推出——网络犯罪分子有了可加以利用的新机会。遗憾的是,创建小程序(mini-apps)的能力,为更为复杂的骗局活动打开了大门。据加密安全领域的领导者 Match Systems 称,这些发展以少有人预料到的方式,加速了欺诈手法的蔓延。恶意行为者正越来越多地利用 TON 开放、去中心化的结构,导致大规模的资产盗窃,并对生态系统内的用户信任构成重大挑战。曾被视为创新平台的它,如今正与一波不断上涨的网络威胁角力。本分析将探讨与 TON 相关的安全风险,并揭示其扩张中的生态系统里潜在的薄弱环节。
TON 中不断上升的欺诈趋势:数字会说话
近年来,TON 区块链上犯罪活动的增长引发了严重关切。已登记的欺诈案件和非法操作数量呈指数级增长。2023 年,事件总数较 2022 年增长了 60%,已经为整个加密社区拉响了警报。然而,2024 年带来了更为惊人的数据:仅在头六个月里,就有超过 1,200 起欺诈案件被报告,比去年同期高出 45%。
尤其令人担忧的是逐月数据。例如,2024 年 3 月,TON 中的犯罪数量较 2 月增长了 25%,而 6 月则记录到 30% 的上升,这与平台上小程序日益走高的人气相关。分析人士估计,到 2024 年底,通过 TON 中欺诈手法被盗的资金总额,可能超过 1 亿美元,为该生态系统创下新的纪录。
最常见的欺诈类型之一,仍然是假冒空投和钓鱼网站,自 2024 年初以来,它们已导致超过 1,000 万美元被盗。此外,通过去中心化交易所和混币器进行的新洗钱技术,让犯罪分子几乎能彻底掩盖踪迹,增加了调查和追回被盗资产的难度。统计数据还显示,TON 区块链上的欺诈手法数量呈指数级增长,每 100 名新用户中至少有 5 名欺诈受害者。这表明,这个对犯罪分子越来越具吸引力的生态系统,迫切需要加强安全措施和监督。
尽管 Pavel Durov 和 TON 开发团队正积极致力于改善生态系统的安全,但挑战在于平台的快速增长。随着其人气迅速攀升,安全机制的发展未能跟上其生态系统扩张的步伐。不过,最有可能的是,随着 TON 生态系统持续走向成熟,它终将蜕变为一条高度安全、技术先进的区块链。
一个关键问题是,许多区块链分析平台尚不支持 TON,这使得在该生态系统内追踪被盗资产极为困难。这种支持的缺失,在欺诈识别方面留下了一道显著的缺口,意味着资产一旦在 TON 内被盗,就几乎无法追踪,进一步增加了追回工作的难度。

TON 中的骗局手法:欺骗的新纪元
近年来,TON 生态系统见证了欺诈手法从以太坊区块链的大规模迁移。随着以太坊持续强化其安全措施——配备更为稳健的钱包保护和反欺诈工具——骗子们要有效作案变得越来越难。2024 年,MetaMask 和 Coinbase 等平台集成了诸如交易模拟和可疑活动警告之类的高级安全工具,迫使骗子转而寻找更为脆弱的生态系统。
结果,TON 凭借其开源、去中心化的特性,成了这些迁移而来的骗局的首要目标。TON 相对年轻的基础设施,以及先进安全协议尚未被广泛采用,使它对欺诈者颇具吸引力。小程序、钱包系统和智能合约中的漏洞,为恶意行为者创造了可乘之机。此外,与以隐私功能著称的 Telegram 的紧密集成,进一步助长了骗局的迁移。正如业内专家所言,TON 通过提供一个相较于以太坊安全性更低的环境,「招引」着骗子。
例如,那些曾以以太坊为目标的钱包盗取器,如今频繁被用在 TON 生态系统中。这些恶意脚本利用较为薄弱的安全措施,让骗子得以抽干用户的钱包。那些因以太坊更强的防护而被拦下的盗取器攻击,正在 TON 中焕发新生,并在那里造成了重大的经济损失。

以下对 TON 生态系统中骗局手法的可能形式进行了梳理。通过这样加以梳理,就能更清楚地看到欺诈者如何同时操纵用户和 TON 区块链的技术层面来窃取资产。每一个类别都凸显出不同层级的欺骗与利用,从社交操纵,到高度技术化的自动化攻击。

1. 欺骗用户的手法(社会工程)
此类别中的骗局主要依靠误导或欺骗用户,使其自愿交出资产或敏感信息。这些手法着眼于利用人的心理、信任,以及技术知识的匮乏。
- 假冒空投:用户被免费代币的许诺引诱,这类许诺常通过 Telegram 群组散布。受害者被引导到恶意网站,在那里被诱骗分享自己的私钥或助记词(把钱包连接到恶意网站),从而导致资金被盗。2024 年,假冒空投已导致超过 1,000 万美元被盗
- 社交媒体身份冒充与传销骗局:欺诈者冒充可信人物,或搭建承诺投资 Toncoin 可获高回报的传销骗局。这些骗局在 Telegram 上迅速蔓延,造成重大损失。2024 年获得势头的那起传销骗局便是一例。
- 通过 Telegram 的网络钓鱼攻击:骗子利用 Telegram 群组中的钓鱼链接或机器人来散布恶意软件,或从用户的 TON 钱包中窃取资产。这些钓鱼骗局在 2024 年激增,主要瞄准 Tonkeeper 之类的钱包。
2. 针对基础设施的骗局(利用生态系统漏洞)
此类别聚焦于那些利用 TON 生态系统基础设施薄弱环节(如应用、钱包和智能合约)的欺诈。
- 假冒小程序:欺诈性的小程序,如 Hamster Kombat 等热门游戏的假冒版本,被刻意设计出漏洞或恶意代码,使骗子得以访问用户的钱包。2024 年,小程序欺诈增长了 30%。
- 钓鱼网站:假冒网站模仿合法的 TON 项目或交易所。用户被引导至这些看起来货真价实的网站,并被诱骗输入敏感信息,从而让骗子得以窃取其资金。
- NFT 与 Jetton 代币骗局:欺诈者创建假冒的 NFT 系列或伪造的 Jetton 代币,把用户引诱到去中心化市场上的欺诈交易中。通过这些手法,已有数十万美元损失。
3. 自动化的利用型手法(技术执行)
这些骗局把技术欺骗与用户欺骗结合起来,一旦受害者与被攻陷的应用或平台交互,便将盗窃过程自动化。
- 钱包盗取器:钱包盗取器是一种恶意脚本,在获得授权后(往往通过误导性的交易请求)便能清空用户的钱包。这些盗取器在 Telegram 的地下市场上售价低至 300 美元,而 2024 年的一起此类攻击就导致 22,000 TON(约合 15.2 万美元)被盗
- 通过去中心化交易所和混币器洗钱:窃取资金后,骗子利用去中心化交易所和加密混币器来洗白被盗资产,使被盗资金难以被追踪或追回。2024 年,此类洗钱技术在 TON 中的使用急剧上升。
黑客用来在 TON 生态系统中为非法活动搭建基础设施的常用工具
在 TON 生态系统中,黑客使用一整套经典的服务,来搭建和维护用于非法活动的基础设施。这些服务横跨多个关键领域,包括域名注册、SEO 操纵、流量生成工具、VPN,以及代理网络。下方的信息图对通常使用的服务类型进行了详细的梳理。

1. 域名注册商
所用服务示例:
- Namecheap:以允许匿名域名注册而闻名,是搭建钓鱼网站的黑客的首选。其宽松的核验流程,是骗子的一大优势。
- Freenom:提供免费的域名注册,使它对快速、一次性的域名极具吸引力。Freenom 让黑客能够频繁更换域名以规避检测。
- GoDaddy:虽然监管更严,但由于其全球触达能力和快速购买域名的便利,GoDaddy 仍被网络犯罪分子所使用。
2. SEO 操纵服务
所用服务示例:
- 黑帽 SEO 机构:专门从事不道德手法的机构,包括 SEMalt 和 SEOClerks,在那里可以购买诸如反向链接刷量和伪装(cloaking)之类的服务,用来操纵搜索引擎排名、提高骗局网站的曝光度。
- 流量机器人:
- HitLeap:一种通过增加访客数量、让网站显得合法的人造流量生成服务。它常被用来在搜索引擎中提升欺诈性 TON 网站的排名。
- 9hits:另一种常见的流量生成工具,模拟网站点击,欺骗搜索引擎和社交平台,让它们把骗局网站识别为热门。
3. VPN 与代理网络
所用服务示例:
- NordVPN:因其严格的无日志政策和先进的加密而在黑客中广受欢迎,使执法部门难以追踪其活动。
- ProtonVPN:因其双重加密功能和高度的隐私性而受青睐,ProtonVPN 让骗子得以掩盖其 IP 地址、规避检测。
- ExpressVPN:因其速度和注重隐私的功能而被网络犯罪分子广泛使用,它提供了一种在多个司法管辖区之间作案的可靠方式。
- 「防弹」VPN(Bulletproof):在俄罗斯或荷兰等司法管辖区运营的 VPN 提供商,往往以「防弹」自居,拒绝与执法部门合作,任由非法活动在其服务器上滋长。
4. 托管服务
所用服务示例:
- 「防弹」托管提供商:像 FlokiNET(设在冰岛和罗马尼亚)和 Offshore Servers 这样的公司提供防弹托管,它们允许托管非法网站——包括钓鱼和恶意软件网站——并在收到投诉时也不将其下架。
- DDoS-Guard:在黑客中颇受欢迎的一种服务,用于保护其基础设施免遭下架企图。DDoS-Guard 帮助确保骗局网站即便在受到正规网络安全团队或竞争对手攻击时,也能保持在线。
5. 自动化工具与机器人
所用服务示例:
- 钓鱼工具包:这些工具包可以在暗网市场或 Telegram 频道购买,内含用于搭建钓鱼网站的模板和预配置代码。为此提供服务的一个热门是 PhishX,它提供一整套用于针对 TON 用户的现成钓鱼模板。
- 钱包盗取器脚本:专门针对 TON 的这类脚本,在 Telegram 的地下群组里常以 300 至 1,000 美元的价格出售。一个著名的例子是 Tonkeeper Wallet Drainer,它通过诱骗 Tonkeeper 钱包的用户批准恶意交易来对其下手。

6. 通信与协作平台
- Telegram:在 TON 生态系统内组织网络犯罪时使用最广泛的平台。骗子创建私密频道来兜售钓鱼工具包、恶意软件和钱包盗取器。黑客匿名交流、交换信息,并出售其作案所需的工具。
- 暗网市场:像 Silk Road 3.1 和 Empire Market 这样的网站,充当着交易被盗数据、恶意软件、钓鱼工具包和盗取器脚本的枢纽。这些暗网论坛还让犯罪分子得以购买诸如防弹托管或僵尸网络访问权限之类的基础设施服务。
7. 流量操纵与欺诈广告
- AdFly:一种黑客用来把流量导向恶意网站的 URL 缩短服务。AdFly 缩短那些把用户重定向到骗局网站的 URL,让它们看起来不那么可疑。
- PopAds:一个以投放弹出式(pop-under)广告而闻名的平台,常被用来展示钓鱼内容或虚假广告,诱使用户点击并与骗局网站交互。
TON 生态系统中的资金洗白工具
- 黑客从受害者处窃取资金后,往往需要把被盗的加密货币洗白,以掩盖其来源、并使其在不引人注意的情况下可供使用。洗白过程通常涉及多种方法和平台。在这一过程中,黑客会动用一切可用的、在任何加密骗局中都常见的洗白被盗资金的方法。这些方法从混币器到隐私币不等。

避免沦为骗子受害者的清单
为了保护你免受 TON 生态系统中的骗局之害,Match System 为你准备了一份简单的清单。遵循这些步骤,你就能显著降低在 TON 生态系统中成为欺诈受害者的风险。这些直截了当的步骤或许能保住你的钱。只要照着做,你就能保持安全。
如果你已在 TON 生态系统中沦为欺诈的受害者,至关重要的是不要拖延,尽快寻求专业帮助。经验表明,你越早联系专业人士,追回被盗资金的机会就越大。
Match Systems 为此开发了一款简单的工具——Telegram 机器人 加密事件举报。只需点击几下,你就能报告你的情况。至少,被盗资金会被迅速在区块链上标记为「被盗」,从而大大增加骗子转移它们的难度。这一过程提高了你追回被盗资产的机会。
作为结语
Match Systems 也在为强化这个不断成长的 TON 生态系统的安全贡献力量。通过把 TON 集成进其区块链分析器,该公司实现了对交易的详尽追踪和对可疑模式的识别,为执法部门和金融机构提供了宝贵的支持。此外,Match Systems 还会标记欺诈地址并与社区共享,帮助用户避开危险的交互,同时提供关于可疑活动的实时警报。而且,其先进的 AML 解决方案——既包含自动化核查,也包含人工核查——进一步增强了该网络监控和拦截非法交易的能力。
这些努力共同为 TON 区块链生态系统的所有参与者,营造出一个更安全、更有保障的环境。
注意!本文所提供的信息仅供参考和了解之用,相关数据不得用于非法目的,也不应被当作采取行动的诱导。
