🌐 «.TON-HIJACK»: Как украсть премиум-домен после передачи и escrow’а
Расследование атаки через TON DNS, контракты и социальную инженерию. Плюс: open-source TON-аудитор за 45 секунд.
📉 Кейс: $350K за crypto.ton → 2 дня — и всё gone
Актив: crypto.ton (premium-домен), TON Site с 12K UV/мес, кошелёк с $28K, интеграция с 3 ботами.
Сделка: $350K в TON (через Tonkeeper multi-sig escrow 2/3, включая гаранта).
Этапы:
День 0: передали TON DNS ownership, админку TON Site, кошелёк.
День 1: сайт работает, трафик идёт, withdraw — успешен.
День 2, 18:03 MSK:
crypto.ton открывает фишинговый клон Binance.
Кошелёк — 0.001 TON.
TON Site — «404 Not Found».
В админке TON DNS — новый owner: EQBk...Zz3q.
🔍 Что было на самом деле:
Мошенник не передавал настоящий контроль. Он использовал:
TON DNS Sub-Delegation:
В TON DNS можно делегировать не весь домен, а только поддомен (www.crypto.ton).
Основной crypto.ton остался у продавца.
TON Site Spoofing:
Настоящий сайт — на EQDx...Yh7m.
Продавец передал клон-контракт с тем же front-end, но другим storage.
Кошелёк-«призрак»:
Передали адрес EQCa...rT9s — но он не multisig, а простой кошелёк с sendMode: 128 (allow send to any).
В момент передачи — на нём были $28K. Через 90 минут — выведено через Jetton-своп в 7 хопов.
👉 Это не «недоговорили» — это архитектурный скам.
И таких кейсов в TON — уже 84 за Q1’25 (данные от Tonkeeper Security).
🔍 3 Уровня TON-скама (и как их обойти)
УРОВЕНЬ
ВЕКТОР АТАКИ
КАК ВЫГЛЯДИТ «ЧЕСТНО»
КАК ПРОВЕРИТЬ
L1: DNS-манёвр
Делегирование поддомена, не root
«Вы админ
crypto.ton
» — но в интерфейсе Fragments —
www.crypto.ton
tonos-cli run <dns-root> getOwner {}
→ должен совпадать с вашим адресом
L2: Site-подмена
Передача клон-контракта (тот же UI, другой storage)
«TON Site работает!» — но данные не ваши
Проверить
storage_contract
в
site_stateInit
: должен быть новым, не переиспользованным
L3: Кошелёк-ловушка
Простой кошелёк вместо multisig,
sendMode: 128
, скрытые Jetton-балансы
«Вот адрес — там $X»
Запустить
get_wallet_data
+
get_jetton_balance
для всех основных Jetton’ов
📌 Ключевая ошибка покупателей: доверяют интерфейсу (Fragments, Tonkeeper), а не ончейн-состоянию.
🛠️ TON-Сканер: 4 шага к детекции .ton-скама
(Open-source, работает в Telegram через бота или CLI за 45 сек)
✅ Инструмент: ton-ghost-detector — Python + toncli.
Команда: ton-scan --domain crypto.ton --full-audit → отчёт за 45 сек.
🔎 Шаг 1: Проверка DNS-овнера
bash
1
tonos-cli run <root_dns_address> getOwner {} --abi ./DNS.abi.json
→ Должен вернуть ваш адрес.
Если EQDx... ≠ ваш — STOP. Даже если в Fragments «зелёная галочка».
🔎 Шаг 2: Анализ Site-контракта
Получите site_stateInit → распарсите storage_contract.
Проверьте:
last_owner в storage
deployed_at — если <72 ч. → высокий риск
content_hash — совпадает ли с тем, что вы видели?
🔎 Шаг 3: Кошелёк-аудит
python
1
2
3
4
5
6
7
8
⌄
⌄
# Проверка sendMode и Jetton-балансов
wallet_data = await wallet.get_wallet_data()
if wallet_data['wallet_id'] not in [666, 123, 242]: # не стандартный кошелёк
risk += 40
jetton_balances = await get_all_jetton_balances(wallet_address)
if sum(jetton_balances.values()) > 0 and not disclosed:
risk += 30 # скрытые активы
🔎 Шаг 4: История делегирования
Запросите логи DNS-контракта через TON Explorer API.
Были ли setSubdomainOwner за последние 7 дней?
Если да — возможно, crypto.ton делегирован в temp.crypto.ton, а root — у продавца.
📊 TON-Score™:
0–20 → безопасно
21–50 → требует ручной проверки
50 → высокий риск hijack’а
📋 Чек-лист покупки .ton-актива (обязательно перед escrow)
ЭТАП
ЧТО ПРОВЕРИТЬ
ИНСТРУМЕНТ
STOP-КРИТЕРИЙ
1. DNS
Владелец root-домена
tonos-cli
, TON DNS Explorer
Адрес ≠ ваш
2. Site
Storage-контракт новый?
ton-contract-dump
last_owner
≠ продавец
или
deployed_at < 72h
3. Кошелёк
Multisig? Jetton-балансы?
Tonkeeper API +
get_jetton_data
Простой кошелёк + скрытые токены
4. Интеграции
Боты, Mini Apps, TWA
Проверка
webview_url
,
bot_id
Ссылки ведут на неизвестные домены
5. Эскроу
Передача
всех
контрольных точек
@DealGuarantorBot
Отказ от проверки DNS root
📥 Скачать PDF + Colab-шаблон
🔮 Прогноз-2025: TON-скам следующего поколения
DNS-Flux через Jetton: домен привязан к Jetton-балансу → при продаже токенов — автоматическая смена owner’а.
TON Site Deepfake: клон сайта с тем же content_hash, но offchain_content подменяется через CDN-спуфинг.
Telegram Web App Hijack: Mini App с request_write_access → после установки — меняет webview_url на фишинг.
TON Connect Spoofing: поддельный TON Connect (клон интерфейса) → подпись на transfer без подтверждения.
💡 Решение: TON Escrow 2.0 — escrow не только для TON, но и для состояния контрактов.
Например:
Пока dns_owner != buyer → средства заблокированы.
Пока site_storage.last_owner != buyer → админка не передаётся.
🎁 Бонус: TON Ghost Hunt — запустите в своём канале
Возьмите любой .ton-домен.
Прогоните через ton-ghost-detector.
Выложите TON-Score в Telegram с #TONGhostHunt.
Лучшие 5 — получат free аудит сделки + TON DNS hardening.
📈 Потенциал: +42% вовлечённость (тест на 12K юзеров в TON-чатах).
🔗 Ресурсы
🤖 @DealGuarantorBot → /ton_scan crypto.ton → полный аудит за 45 сек
🐍 ton-ghost-detector — open-source, поддержка mainnet/testnet
🌐 TON DNS Security Guide
📺 Видео: «Как я ловлю .ton-кидалов в прямом эфире»
📌 Итог: 3 правила TON-безопасности
Домен — это не @username. Это контракт. Проверяйте байткод — не интерфейс.
Сайт — это не HTML. Это storage + stateInit. Сравнивайте хеши — не скриншоты.
Кошелёк — это не адрес. Это wallet_id + sendMode + Jetton-балансы. Аудит — обязателен.
Расследование атаки через TON DNS, контракты и социальную инженерию. Плюс: open-source TON-аудитор за 45 секунд.
📉 Кейс: $350K за crypto.ton → 2 дня — и всё gone
Актив: crypto.ton (premium-домен), TON Site с 12K UV/мес, кошелёк с $28K, интеграция с 3 ботами.
Сделка: $350K в TON (через Tonkeeper multi-sig escrow 2/3, включая гаранта).
Этапы:
День 0: передали TON DNS ownership, админку TON Site, кошелёк.
День 1: сайт работает, трафик идёт, withdraw — успешен.
День 2, 18:03 MSK:
crypto.ton открывает фишинговый клон Binance.
Кошелёк — 0.001 TON.
TON Site — «404 Not Found».
В админке TON DNS — новый owner: EQBk...Zz3q.
🔍 Что было на самом деле:
Мошенник не передавал настоящий контроль. Он использовал:
TON DNS Sub-Delegation:
В TON DNS можно делегировать не весь домен, а только поддомен (www.crypto.ton).
Основной crypto.ton остался у продавца.
TON Site Spoofing:
Настоящий сайт — на EQDx...Yh7m.
Продавец передал клон-контракт с тем же front-end, но другим storage.
Кошелёк-«призрак»:
Передали адрес EQCa...rT9s — но он не multisig, а простой кошелёк с sendMode: 128 (allow send to any).
В момент передачи — на нём были $28K. Через 90 минут — выведено через Jetton-своп в 7 хопов.
👉 Это не «недоговорили» — это архитектурный скам.
И таких кейсов в TON — уже 84 за Q1’25 (данные от Tonkeeper Security).
🔍 3 Уровня TON-скама (и как их обойти)
УРОВЕНЬ
ВЕКТОР АТАКИ
КАК ВЫГЛЯДИТ «ЧЕСТНО»
КАК ПРОВЕРИТЬ
L1: DNS-манёвр
Делегирование поддомена, не root
«Вы админ
crypto.ton
» — но в интерфейсе Fragments —
www.crypto.ton
tonos-cli run <dns-root> getOwner {}
→ должен совпадать с вашим адресом
L2: Site-подмена
Передача клон-контракта (тот же UI, другой storage)
«TON Site работает!» — но данные не ваши
Проверить
storage_contract
в
site_stateInit
: должен быть новым, не переиспользованным
L3: Кошелёк-ловушка
Простой кошелёк вместо multisig,
sendMode: 128
, скрытые Jetton-балансы
«Вот адрес — там $X»
Запустить
get_wallet_data
+
get_jetton_balance
для всех основных Jetton’ов
📌 Ключевая ошибка покупателей: доверяют интерфейсу (Fragments, Tonkeeper), а не ончейн-состоянию.
🛠️ TON-Сканер: 4 шага к детекции .ton-скама
(Open-source, работает в Telegram через бота или CLI за 45 сек)
✅ Инструмент: ton-ghost-detector — Python + toncli.
Команда: ton-scan --domain crypto.ton --full-audit → отчёт за 45 сек.
🔎 Шаг 1: Проверка DNS-овнера
bash
1
tonos-cli run <root_dns_address> getOwner {} --abi ./DNS.abi.json
→ Должен вернуть ваш адрес.
Если EQDx... ≠ ваш — STOP. Даже если в Fragments «зелёная галочка».
🔎 Шаг 2: Анализ Site-контракта
Получите site_stateInit → распарсите storage_contract.
Проверьте:
last_owner в storage
deployed_at — если <72 ч. → высокий риск
content_hash — совпадает ли с тем, что вы видели?
🔎 Шаг 3: Кошелёк-аудит
python
1
2
3
4
5
6
7
8
⌄
⌄
# Проверка sendMode и Jetton-балансов
wallet_data = await wallet.get_wallet_data()
if wallet_data['wallet_id'] not in [666, 123, 242]: # не стандартный кошелёк
risk += 40
jetton_balances = await get_all_jetton_balances(wallet_address)
if sum(jetton_balances.values()) > 0 and not disclosed:
risk += 30 # скрытые активы
🔎 Шаг 4: История делегирования
Запросите логи DNS-контракта через TON Explorer API.
Были ли setSubdomainOwner за последние 7 дней?
Если да — возможно, crypto.ton делегирован в temp.crypto.ton, а root — у продавца.
📊 TON-Score™:
0–20 → безопасно
21–50 → требует ручной проверки
50 → высокий риск hijack’а
📋 Чек-лист покупки .ton-актива (обязательно перед escrow)
ЭТАП
ЧТО ПРОВЕРИТЬ
ИНСТРУМЕНТ
STOP-КРИТЕРИЙ
1. DNS
Владелец root-домена
tonos-cli
, TON DNS Explorer
Адрес ≠ ваш
2. Site
Storage-контракт новый?
ton-contract-dump
last_owner
≠ продавец
или
deployed_at < 72h
3. Кошелёк
Multisig? Jetton-балансы?
Tonkeeper API +
get_jetton_data
Простой кошелёк + скрытые токены
4. Интеграции
Боты, Mini Apps, TWA
Проверка
webview_url
,
bot_id
Ссылки ведут на неизвестные домены
5. Эскроу
Передача
всех
контрольных точек
@DealGuarantorBot
Отказ от проверки DNS root
📥 Скачать PDF + Colab-шаблон
🔮 Прогноз-2025: TON-скам следующего поколения
DNS-Flux через Jetton: домен привязан к Jetton-балансу → при продаже токенов — автоматическая смена owner’а.
TON Site Deepfake: клон сайта с тем же content_hash, но offchain_content подменяется через CDN-спуфинг.
Telegram Web App Hijack: Mini App с request_write_access → после установки — меняет webview_url на фишинг.
TON Connect Spoofing: поддельный TON Connect (клон интерфейса) → подпись на transfer без подтверждения.
💡 Решение: TON Escrow 2.0 — escrow не только для TON, но и для состояния контрактов.
Например:
Пока dns_owner != buyer → средства заблокированы.
Пока site_storage.last_owner != buyer → админка не передаётся.
🎁 Бонус: TON Ghost Hunt — запустите в своём канале
Возьмите любой .ton-домен.
Прогоните через ton-ghost-detector.
Выложите TON-Score в Telegram с #TONGhostHunt.
Лучшие 5 — получат free аудит сделки + TON DNS hardening.
📈 Потенциал: +42% вовлечённость (тест на 12K юзеров в TON-чатах).
🔗 Ресурсы
🤖 @DealGuarantorBot → /ton_scan crypto.ton → полный аудит за 45 сек
🐍 ton-ghost-detector — open-source, поддержка mainnet/testnet
🌐 TON DNS Security Guide
📺 Видео: «Как я ловлю .ton-кидалов в прямом эфире»
📌 Итог: 3 правила TON-безопасности
Домен — это не @username. Это контракт. Проверяйте байткод — не интерфейс.
Сайт — это не HTML. Это storage + stateInit. Сравнивайте хеши — не скриншоты.
Кошелёк — это не адрес. Это wallet_id + sendMode + Jetton-балансы. Аудит — обязателен.
