本文 Hash（SHA1）：a3797a7829093777932a7a8c66e66358bfd8e356

編號：鏈源 Security Knowledge No.016 

在 Meme 項目和生態融合的成長過程中，Meme 一直被視為生態熱度的溫度計。公鏈生態與 Meme 是相輔相成的，在一定時期內，整個生態的關注度和流量往往會集中在某個 Meme 上，Meme 的名聲大噪，代表著公鏈團隊、公鏈項目、公鏈用戶等各方共同努力的結果。未來，TON 上的 Meme 項目可能會更為突出，基于 Telegram 的用戶群體，TON 在這一點上具有其他公鏈無法比擬的天然優勢，Meme 以強大的社區文化和廣泛的用戶基礎為特色，這兩者帶來的交易熱情和流動性可以迅速提升代幣項目的市值。TON 的 Notcoin 就是基于 Meme 特點實現的成功例子，雖然 Notcoin 本質上屬于 GameFi，但由于其廣泛的用戶群體和病毒式傳播，Notcoin 也被廣泛認為是 Memecoin。隨著 Notcoin 的成功，許多模仿它的代幣也隨之涌現。然而，這種現象級的傳播往往會伴隨著大量的安全問題，例如釣魚網站冒充項目名義騙取用戶的信任。在享受樂趣的同時，大家也需保持謹慎。

常見安全問題： 

合約漏洞：

智能合約是 meme 幣項目的核心，一旦出現漏洞，可能會導致代幣被盜或濫發。以下是一個常見的漏洞——重入攻擊（Reentrancy Attack）的示例代碼： 

在上述代碼中，withdraw 函數的外部調用 msg.sender.call{value: _amount}("") 存在潛在的重入攻擊風險。在攻擊場景下，攻擊者可以在接收資金后，再次調用 withdraw，反復提取資金，直至合約內的余額被抽干。

權限管理不當：

許多 meme 幣項目在權限管理上存在不足，關鍵操作如鑄幣和銷毀代幣的權限可能沒有得到有效控制。例如：

在這個示例中，如果所有者的私鑰泄露或管理不當，攻擊者可能利用這一權限鑄造大量代幣，破壞市場穩定。

用戶安全指南手冊：

錢包：

由于 TON 并不是 EVM 公鏈，因此需使用獨立的錢包。其中，最多人使用的是建立在 Telegram 小程序里的 Wallet 以及 Tonkeeper，兩者皆由 TOP LAB 開發。不同之處在于 Tonkeeper 是自托管錢包形式，需要自己保管助記詞，支持 Chrome 插件或手機 APP 應用操作；而 Wallet 則是內嵌在 Telegram 中，以小程序方式運作，為托管錢包跟隨 Telegram 帳號，但需通過 KYC 身份驗證才能使用。此外，Wallet 現在推出了 TON SPACE 功能，使錢包功能更完整，可以自行保管助記詞，并支持 TON NFT 或各種 Jettons 代幣（類似于 ERC 20 / SPL Token，Wallet 的特點在于可以更方便地與各種 Telegram 原生小程序交互使用。

跨鏈橋和中心化交易所：

準備好錢包后，可以選擇從官方跨鏈橋或第三方橋將資金轉入 TON 鏈

• 官方橋：https://bridge.ton.org/

• LayerSwap：https://layerswap.io/app

• Symbiosis：https://app.symbiosis.finance/

• Rubic：https://app.rubic.exchange/

  而除了使用跨鏈橋外也有許多中心化交易所已經支持了 $TON 現貨或是 $USDT on TON 的存取

  • TON：OKX/ Bybit/ GATE/ MEXC/ Kucoin …

  • USDT on TON：Binance/ OKX/ Bybit/ GATE/ MEXC/ Kucoin …

    鏈上應用：

    • DEX: STON.fi, Dedust.io

    • 聚合器: Mars.TonPlanets

    • LaunchPad: Tonraffles

    • 流動性質押 LSD: TonStakers $tsTON, Bemo $stTON

    • 衍生品永續合約: Storm

    • NFT 市場 借貸: GetGems, Daolama

    • 鏈上瀏覽器: TONViewer

      安全檢查工具：

      Ton 生態目前主流的檢查工具包括：

      Ton Inu 檢查工具：Tg Bot，輸入合約地址后檢查 LP 是否上鎖、管理員權限是否放棄；

      TON MINTER：網頁工具，可檢查是否放棄管理員權限。因為安全檢查工具目前發展仍不全，并不能 100% 保證代幣安全性，用戶需注意投資金額。

      用戶防范措施：

      我們鏈源安全團隊建議大家：

      • 使用安全審計過的合約庫：建議使用 OpenZeppelin 等經過審計的標準合約庫，這些庫經過廣泛的社區審查和測試，可以顯著減少合約中的安全漏洞。

      • 權限控制和多重簽名機制 ：嚴格控制關鍵操作的權限，多重簽名機制可以確保在執行敏感操作時需要多方授權，從而降低單點失誤的風險。

      • 查看項目安全審計 ：對智能合約進行安全審計是發現潛在漏洞的重要手段。用戶應選擇有信譽的第三方安全公司進行過審計的項目。

      • 實施實時監控機制 ：通過區塊鏈監控工具，實時監控智能合約的交易和行為異常。一旦檢測到異常活動，如異常大額交易或頻繁的失敗交易，可以及時報警并采取應對措施。

        結語

        Meme 項目在區塊鏈生態中起到了重要的推動作用，但同時也帶來了許多安全挑戰。無論是開發者還是用戶，都應高度重視安全問題。鏈源安全團隊建議用戶通過采取合適的防范措施和使用安全工具，可以在享受 Meme 項目的樂趣的同時，保護自己的資產和數據安全。隨著區塊鏈技術的發展和社區的共同努力，我們相信 ton 生態的 Meme 項目的未來將更加光明。

        鏈源科技是一家專注于區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上數據分析，以及資產和合約漏洞救援，已成功為個人和機構追回多起被盜數字資產。同時，我們致力于為行業機構提供項目安全分析報告、鏈上溯源和技術咨詢/支撐服務。

        感謝各位的閱讀，我們會持續專注和分享區塊鏈安全內容。    

AD：

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。