Обзор безопасности Tonkeeper | Управление закрытыми ключами, аудит кода и оценка рисков кошелька

Введение: Почему нам следует заботиться о безопасности Tonkeeper?

В мире криптовалютных кошельков безопасность остаётся главным приоритетом для инвесторов. С быстрым развитием блокчейна TON (The Open Network) всё больше пользователей выбирают Tonkeeper для хранения и отправки токенов TON и NFT. Однако действительно ли Tonkeeper безопасен? Кто хранит приватные ключи? Проходил ли аудит кода? Были ли случаи потери средств пользователей?

В этой статье проводится всесторонний анализ вопросов безопасности и рисков Tonkeeper на основе личного опыта, отзывов сообщества, пользовательских случаев, отчетов сторонних СМИ и сравнения с другими кошельками.

1. Компания Tonkeeper и ее история

1.1 Основная информация

• Название приложения : Tonkeeper Wallet

• Официальный сайт : https://tonkeeper.com

• Разработчик : Tonkeeper Labs (информация о регистрации компании полностью не раскрыта, и команда тесно сотрудничает с TON Foundation)

• Поддерживаемый блокчейн : The Open Network (TON)

• Каналы загрузки : Apple App Store, Google Play, официальный APK

1.2 История и развитие

• 2021: Tonkeeper официально запущен и становится одним из кошельков, рекомендуемых сообществом TON.

• 2022: Быстрое распространение в сообществе Telegram и превращение в первый выбор для большинства пользователей TON.

• 2023: Запуск управления NFT и поддержки плагинов DeFi.

• 2024: Количество загрузок превысило 5 миллионов, кошелек стал кошельком с самой большой долей рынка в экосистеме TON.

1.3 История команды

• Tonkeeper Labs : Хотя компания не раскрывает полную структуру своих акционеров, как Coinbase Wallet, ее разработчики часто участвуют в обсуждениях официального форума TON.

• Поддерживать отношения сотрудничества с TON Foundation ( https://ton.org ) для совместного содействия развитию кошельков и экосистемы блокчейнов.

2. Подробное объяснение архитектуры кошелька

2.1 Неуправляемая логика

Tonkeeper — это некастодиальный кошелек :

• Закрытый ключ не хранится на сервере, а существует только локально на устройстве пользователя.

• Мнемоническая фраза используется для восстановления кошелька. Любая её потеря означает безвозвратную потерю средств.

• Функция «восстановления забытого пароля» отсутствует.

2.2 Мнемоника

• По умолчанию генерируется 12 английских слов.

• Пользователям необходимо вручную копировать и сохранять.

• Хранение данных в облаке (например, Google Drive и iCloud) несет риск утечки.

2.3 Риски безопасности

• Если телефон пользователя имеет root-доступ или подвергся джейлбрейку, безопасность Tonkeeper будет существенно снижена.

• Некоторые поддельные APK-файлы Tonkeeper крадут мнемонические коды во время установки.

3. Открытый исходный код и аудит

3.1 Открытый исходный код

• Часть кода front-end находится в открытом доступе, адрес GitHub: https://github.com/tonkeeper

• Основной модуль шифрования не полностью раскрыт и не настолько прозрачен, как MetaMask и Trust Wallet.

3.2 Аудит сообщества

• В 2023 году команда безопасности сообщества TON провела проверку безопасности кода Tonkeeper и не обнаружила серьезных уязвимостей, но указала на чрезмерные разрешения.

• Ни одна аудиторская фирма «большой четверки» (например, Deloitte и PwC) еще не выпустила полный отчет по безопасности.

3.3 Риски

• Основной модуль не имеет открытого исходного кода → его невозможно полностью проверить извне.

• Ограниченное тестирование в сообществе → Недостаточный охват.

4. Анализ разрешений и конфиденциальности

4.1 Требования к разрешениям

При установке Tonkeeper приложению требуются следующие разрешения:

• Сетевой доступ

• Хранилище устройства (для кэширования данных)

• Разрешение на камеру (отсканируйте код для оплаты)

4.2 Проблемы сообщества

• Некоторые пользователи Reddit сообщили, что версия Tonkeeper для Android запрашивает слишком много разрешений.

• Разрешения на хранение могут облегчить вредоносным программам кражу данных.

📌 Ссылка: Reddit — обсуждение прав доступа Tonkeeper

5. Библиотека случаев инцидентов безопасности

Случай 1: Мошенничество с поддельными APK-файлами

• Время : ноябрь 2024 г.

• Пользователь : Г-н Иванов (Россия)

• Потеря : около 2000 тонн

• Процесс : загрузил поддельный APK-файл Tonkeeper и после ввода мнемонической фразы активы были украдены.

Случай 2: сбои приложения

• Время : январь 2025 г.

• Пользователь : г-жа Чэнь (материковый Китай)

• Убыток : около 500 USDT

• Процесс : После обновления произошел сбой в системе, служба поддержки клиентов не отреагировала вовремя, а передача активов была задержана.

Случай 3: Задержка транзакции

• Время : декабрь 2024 г.

• Пользователь : Г-н Джонсон (США)

• Ситуация : Скорость подписи Tonkeeper низкая, а задержка перевода превышает 1 час.

6. Репутация сообщества и отчеты третьих лиц

• CoinTelegraph : Назвал Tonkeeper «самым широко используемым кошельком в экосистеме TON».

• WikiFX : Ставится под сомнение отсутствие у Tonkeeper сведений о зарегистрированной компании.

• Reddit и Telegram : Большинство пользователей признают простоту этого способа, но беспокоятся о безопасности своих средств.

7. Сравнение Tonkeeper с конкурентами

8. Соблюдение требований и будущее регулирование

• У Tonkeeper нет независимой финансовой лицензии.

• Если в будущем ЕС или США начнут регулировать деятельность поставщиков услуг кошельков, Tonkeeper может быть обязан проходить процедуру KYC.

• Производитель аппаратного кошелька Ledger запланировал интеграцию TON, что может отвлечь пользователей Tonkeeper.

9. Личный опыт

• Загрузка и установка : Загрузка с официального сайта , занимает 1 минуту.

• Создать кошелек : сгенерировать 12 мнемоник, понятный пользовательский интерфейс.

• Получение оплаты : Получите 50 TON, и они будут зачислены на ваш счет в течение 5 секунд.

• Перевод : Перевод 20 тонн, комиссия за обработку 0,02 тонны, подтверждение в течение 10 секунд.

• Управление NFT : имя пользователя Telegram NFT успешно отображено.

10. Распространенные виды мошенничества и меры предосторожности

1. Поддельный APK : хакеры выдают себя за Tonkeeper.

2. Фишинговый сайт : размещается через рекламу Google.

3. Мошенничество со службой поддержки клиентов : закрытый чат в группе Telegram.

👉 Рекомендации по профилактике:

• Проверьте доменное имя перед загрузкой: tonkeeper.com

• Никогда не делитесь мнемоническими приемами

• Используйте холодные кошельки для хранения больших сумм средств

11. Рекомендации по технике безопасности

• Мультиподписной кошелек : увеличьте порог подписи транзакции.

• Аппаратные кошельки : Холодные кошельки, такие как Ledger и Trezor, хранят большие объемы активов.

• Горячая и холодная комбинация : комбинация горячего кошелька Tonkeeper + холодного кошелька Ledger.

12. Обзор рисков

• Преимущества : удобная и прочная экологическая поддержка.

• Недостатки : недостаточно открытого исходного кода, неполный аудит и плохое обслуживание клиентов.

13. Заключение и рекомендации инвесторам

⚠️Вывод :
Tonkeeper — один из самых распространенных кошельков в экосистеме TON, но уровень его безопасности средний:

• Подходит для небольших ежедневных транзакций.

• Не подходит для длительного хранения больших сумм средств.

• Рекомендуется использовать его с холодным кошельком и решением с мультиподписью.