К основному содержанию
T TON Adoption
EN
Безопасность PILLAR · 2026

Безопасность в TON 2026: полный гайд по защите активов

Хранение, фишинг, drainer-сайты, hardware-кошельки, мульти-сиг, bug bounty и форензика инцидентов — карта безопасности TON для пользователей и команд в 2026 году.

Автор
· research lead · security desk
Опубликовано
9 мин. чтения

Безопасность в TON в 2026 году — это уже не «выучи 12 слов и не теряй их». Это многоуровневая дисциплина: правильное хранение seed-фразы, защита от фишинга, выбор между hot и cold кошельками, мульти-сиг для крупных сумм, понимание рисков смарт-контрактов, разбор инцидентов. С ростом TVL экосистемы до $300–500M и подарочного рынка с сотнями миллионов оборотов мишеней стало больше, атаки — изощрённее. Этот гайд — карта того, как защититься в каждом из этих слоёв, со ссылками на детальные разборы.

TL;DR — 10 правил безопасности, которые покрывают 90% атак

  1. Seed-фраза только офлайн — лист бумаги, лучше металлическая пластина. Без скриншотов, без облака, без менеджеров паролей.
  2. Hardware-кошелёк для крупных суммLedger или Trezor. Подробности — Hardware vs software хранение.
  3. Не подписывайте «approve all»TON Connect не требует blanket-approve, в отличие от EVM. Если dApp просит — это red flag.
  4. Открывайте кошельки и dApp’ы только с verified-точек входа — официальные сайты из Twitter/Telegram, ton.app для каталога.
  5. Не храните долгосрочный баланс на бирже — биржи закрываются, блокируют выводы, ломаются. Разбор рисков — хранение на CEX vs кошелёк.
  6. 2FA в Telegram обязательно — украв доступ к аккаунту, фишеры могут увести подарки и анонимные номера даже без кошелька.
  7. Мульти-сиг для сумм $50k+ или для командных кошельков — детально в гайде мульти-сиг для команд.
  8. Каждую транзакцию читайте до подписи — что вы передаёте, кому, в какой сумме. Фишинг-сайты прячут drain в нечитаемом hex.
  9. Тестируйте новый dApp малой суммой — $10–50 в первый раз, прежде чем заводить значительный капитал.
  10. Минимум один резервный канал восстановления — записанная seed-фраза в физическом месте, отличном от первичного.

Дальше — каждый из слоёв подробнее.

Слой 1: правильное хранение seed-фразы

Seed-фраза (24-словная мнемоническая фраза TON — визуально совпадает со словарём BIP-39, но формат derivation специфичен для TON, не совместим напрямую с Ethereum/Bitcoin кошельками: используется TON-mnemonic с PBKDF2-итерациями, а не стандартный BIP-39 → seed → BIP-32) — это единственное доказательство владения кошельком. Не пароль, не PIN устройства, не биометрия. Всё, что не seed-фраза, — это удобство; всё, что seed-фраза, — это владение.

Главные ошибки пользователей:

  • Скриншот seed-фразы. Облако (iCloud, Google Photos) автоматически синхронизирует — и значит, фразу видит кто угодно с доступом к вашему облачному аккаунту. Один утёкший пароль от iCloud = потеря TON.
  • Хранение в менеджере паролей. Менеджеры паролей удобны для паролей, но не для seed-фраз: они на устройстве, которое может быть скомпрометировано через malware.
  • Фото на телефоне. Аналогично скриншоту — синхронизируется в облако автоматически.
  • Текстовый файл на компьютере. Любая malware, получившая доступ к диску, найдёт фразу за минуты — у атакующих есть готовые scanner’ы.

Правильная практика:

  • Лист бумаги в безопасном физическом месте — минимум.
  • Металлическая пластина (Cryptosteel, Billfodl, или DIY — выгравировать на нержавейке) — лучше: не сгорит, не размокнет, не выцветет за 20 лет.
  • Разделение фразы на части в нескольких локациях — для параноидального уровня. Например, 12 слов в одном месте, 12 в другом. Минус — теряешь одну часть, теряешь всё.
  • Альтернатива — passphrase (доп. слово/парольная фраза поверх mnemonic). Удлиняет защиту, но даёт ещё одну точку отказа. На TON поддерживается частью кошельков как опция при создании/восстановлении — формат специфичен для TON-mnemonic.

Полный разбор практик — безопасное хранение seed-фразы. Если уже потеряли доступ к кошельку и нужно восстановить — как восстановить TON-кошелёк по seed-фразе.

Слой 2: hot vs cold — где какие активы держать

«Hot» кошелёк — software (Tonkeeper, MyTonWallet, Tonhub) на телефоне или браузер-расширении. Подключён к интернету, удобен для повседневных операций. Уязвим к malware и фишингу.

«Cold» кошелёк — hardware (Ledger, Trezor) или air-gapped (отдельный телефон без интернета). Seed-фраза никогда не покидает устройство; подпись транзакций происходит на устройстве, в основной системе видна только готовая подпись.

Практическая аллокация:

  • До $1k — software-кошелёк, если есть базовая дисциплина (seed офлайн, 2FA в Telegram). Hardware избыточен.
  • $1k–$10k — software ОК для активного использования, но имеет смысл купить hardware ($80–150) как страховку. Большая часть — на hardware, малая — на software для DeFi и подарков.
  • $10k+ — hardware обязателен. Software-кошелёк держит только «трейдинговый» баланс.
  • $50k+ — добавляется мульти-сиг (см. слой 4).

Конкретно для TON по hardware-кошелькам: Ledger Nano S Plus, Nano X и Stax поддерживают TON через официальное приложение TON в Ledger Live. В Tonkeeper Pro дополнительно работают Keystone и Signer.

Важно: на 2026 год нативной поддержки TON у Trezor нет — этой модели нет в списке партнёров по аппаратной интеграции у крупных TON-кошельков.

Подробный разбор моделей — Ledger для TON: поддержка. Инструкция по настройке — как подключить Ledger к TON-кошельку.

Cold storage — это не только hardware. Стратегии air-gapped и multi-device — в hardware vs software хранении TON.

Слой 3: фишинг и drainer’ы — главная угроза 2026

Малая доля пользователей TON теряет средства из-за уязвимостей контрактов. Подавляющая доля — из-за фишинга и drainer-сайтов. Это техническая реальность, которую важно принять.

Как работает фишинг-сайт кошелька

Атакующий регистрирует домен, визуально неотличимый от настоящего (tonkeeper.comtonkeeрer.com с кириллической р, tonkeeper-app.com, tonkeeper.io и сотни вариаций). Через рекламу в Google, ссылки в Telegram-чатах или поддельные пуш-уведомления заманивает пользователя. На сайте — точная копия легитимного кошелька с одним отличием: при «восстановлении» seed-фразы вы вводите её прямо в инпут на сайте, который сразу отправляет её атакующему.

Детальная анатомия — анатомия фишинга: поддельный сайт кошелька.

Drainer-сайты — следующий уровень

Drainer не требует от вас seed-фразы. Вы подключаете кошелёк через TON Connect (выглядит легитимно), и сайт под видом «mint NFT», «claim airdrop», «verify wallet» показывает транзакцию-подписать. Hex транзакции непрозрачен — пользователь подписывает, думая что mint’ит NFT, а на деле даёт drainer’у право увести подарки или ликвидные активы.

Особенно опасны fake-Telegram-боты, маскирующиеся под Portals, Tonnel, MRKT, getgems-bot. Полный разбор механики — drainer-сайты в TON: как работают.

Топ-10 скамов в Telegram

От «фейковый support-бот написал в личку» до «вступите в группу через бот для airdrop, бот заберёт право входа в Telegram-аккаунт» — каталог самых частых атак в TON-сегменте Telegram: топ-10 скамов TON в Telegram и как защититься.

Главное правило безопасной работы с airdrop’ами и retroactive-кампаниями — никогда не делать «approve all», никогда не вводить seed на сторонние сайты, проверять каждый mini-app через ton.app: как фармить TON-дропы безопасно.

Слой 4: мульти-сиг для крупных сумм и команд

Single-signature кошелёк — это single point of failure. Компрометация одного устройства, фишинг одной подписи, потеря seed-фразы = всё потеряно. Мульти-сиг — это требование M подписей из N (например, 2-of-3 или 3-of-5), без которых транзакция не пройдёт.

Когда мульти-сиг нужен:

  • Команды и DAO — обязательно. Без мульти-сига единственный admin = риск инсайдерской атаки и риск компрометации.
  • Личные кошельки с $50k+ — strongly recommended. Стоимость операционных неудобств (нужно несколько устройств) ниже, чем стоимость потери.
  • Treasury протоколов — стандарт индустрии. 3-of-5 или 4-of-7 с географически разнесёнными подписантами.

Минусы мульти-сига:

  • Сложнее восстановление: нужно одновременно иметь доступ к M устройствам.
  • Газ выше: каждая транзакция требует нескольких подписей.
  • UX сложнее: для каждой операции — координация подписантов.

Полный разбор реализаций мульти-сига на TON, конкретные SDK и patterns — мульти-сиг в TON: безопасность для команд.

Слой 5: смарт-контракт-риски и аудиты

Этот слой — для тех, кто использует DeFi, лендинг, перпы, бриджи. Здесь риск не «вы подписали что-то не то», а «контракт, в котором лежат ваши активы, имеет баг».

Что проверять перед заведением средств в протокол

  • Публичный аудит — CertiK, SlowMist, Trail of Bits, Hacken. Минимум один, желательно два независимых.
  • Возраст контракта — чем дольше mainnet без инцидентов, тем выше доверие. Контракт младше 3 месяцев = повышенный риск.
  • TVL и распределение — большой TVL с малым числом крупных депозиторов — не показатель безопасности (один whale может выйти и сломать ликвидность).
  • Открытый исходник — без публичного кода невозможно независимо верифицировать заявления. Closed source DeFi = red flag.
  • Bug bounty программа — наличие активной программы говорит о зрелости команды в вопросах безопасности. Каталог программ TON — bug bounty в TON: программы и payout.

Классы багов на TON

Подробный технический разбор в bug bounty в TON, но в кратком списке: reentrancy через async-сообщения, TVM exotic-cell атаки, уязвимости валидаторской логики мостов (как в инциденте TAC bridge), jetton replay/double-spend, state-init derivation bypass, highload-V3 race conditions. Это не Solidity-баги — TON имеет свою специфику.

Инструменты аудита

Acton Foundry — де-факто стандарт для TON-аудиторов: mutation testing, retrace, линт по CertiK/SlowMist правилам. Misti — статанализатор для Tact. TSA — symbolic execution.

Слой 6: бридж-риски и форензика инцидентов

Бриджи — самая богатая по payout категория багов и одновременно главная мишень атакующих. 12 мая 2026 произошёл инцидент с TAC bridge — потери ~$2.8M в wrapped jetton’ах (USDT, BLUM, tsTON). Атакующий впоследствии вернул большую часть средств за 10% bug-bounty — инцидент был переквалифицирован в white-hat resolve. Конкретная техническая первопричина — уязвимость в admin-контракте моста; детальный post-mortem публиковался командой TAC. Кейс показал, что валидаторская логика мостов остаётся хрупкой даже у проектов с TVL миллионы.

Детальный разбор атаки — TAC bridge drain 2026: разбор атаки на мост. Урок для пользователя: для долгосрочного хранения избегайте wrapped-активов. Если нужна экспозиция к Bitcoin или Ethereum-токенам на TON, держите их там, где они нативные, и обменивайтесь через cross-chain ровно перед использованием.

Слой 7: операционная гигиена Telegram

Telegram-аккаунт — это инфраструктурный слой для TON: через него работают кошельки (mini-app), маркетплейсы, dApp’ы. Компрометация Telegram = частичная компрометация всех связанных активов, особенно подарков и анонимных номеров.

Минимум:

  • 2FA по паролю — обязательно. Settings → Privacy and Security → Two-Step Verification.
  • Проверка сессий — Settings → Devices. Незнакомые сессии = срочный logout всех + смена пароля.
  • Никаких подарков и анонимных номеров на основном аккаунте для крупных сумм. Отдельный аккаунт для крупных активов с минимальной публичной активностью.
  • Никогда не отвечать в личку «support-ботам» — Tonkeeper, MyTonWallet, биржи не пишут в личку первыми.

Слой 8: что делать, если уже взломали

Срочный protocol для инцидента:

  1. Не паниковать — у вас есть 5–15 минут до того, как drainer уведёт всё. Эти минуты решают.
  2. Отключить кошелёк от всех dApp’ов — настройки TON Connect.
  3. Перевести оставшиеся активы на чистый кошелёк — с новой seed-фразой, лучше hardware. Не на «тот же кошелёк с новой seed» — это не работает, кошелёк = адрес = seed.
  4. Скомпрометированный кошелёк больше не использовать — никогда. Seed-фраза навсегда уязвима.
  5. Сменить пароли — Telegram, email, биржи. Если использовали один пароль везде — это сейчас актуально.
  6. Документировать — скриншоты транзакций, время, домен сайта (если фишинг). Для отчёта в полицию, для disclosure-чата сообщества и потенциально для возврата через mixer-analysis.
  7. Сообщить сообществу — в каналах безопасности TON (TON Society security channel). Это спасает следующих жертв и иногда приводит к идентификации атакующего.

Возврат уведённых средств в крипте практически невозможен. Профилактика дешевле, чем лечение.

Кому стоит инвестировать время в углубление

  • DeFi-юзеры с $10k+ в протоколах — обязательно прочитайте раздел про смарт-контракт-риски и hardware-кошельки.
  • Trader подарков с большим оборотом — особое внимание антифишингу и TON Connect-гигиене (drainer’ы маскируются под marketplace prompts).
  • Команды и DAO — мульти-сиг и операционные процедуры обязательны с первого дня.
  • Разработчики и аудиторы — bug bounty в TON, инструменты (Acton, Misti, TSA), классы багов.
  • Holders с $50k+ — переход на hardware + мульти-сиг, разделение seed-фразы между локациями.

Глоссарий по теме

  • Seed-фраза — мнемоническая фраза для восстановления кошелька.
  • TON Connect — стандарт подключения dApp к кошельку.
  • Multisig — мульти-подпись.
  • Hardware wallet — аппаратный кошелёк.
  • Phishing — фишинг.
  • Audit — аудит безопасности.
  • Bug bounty — программа поощрения за найденные уязвимости.

Источники и для углубления

Что почитать дальше

Безопасность — это процесс, а не разовое действие. Самый дисциплинированный пользователь раз в год оказывается перед сценарием, где ему нужно решать: подписать или отказаться, доверять или нет. Эта дисциплина дешевле, чем повторное накопление потерянного баланса с нуля.

Частые вопросы

Три вещи: (1) храните seed-фразу офлайн, без скриншотов и облака, лучше на металлической пластине; (2) не подписывайте 'approve all' в TON Connect — легитимный dApp просит подписать только конкретную транзакцию; (3) открывайте кошельки и маркетплейсы только через verified-точки входа (официальные сайты, ton.app), никогда через ссылки из чатов и DM. Эти три правила закрывают 90% реальных атак.
Зависит от риск-профиля. Hardware-кошелёк (Ledger, Trezor) — это страховка от malware на компьютере и phishing-подписей. Стоит он $80–150. Если сумма больше, чем вы готовы потерять при компрометации устройства, hardware-кошелёк окупается. Для активного трейдинга подарков или DeFi удобнее держать 'горячий' остаток в software-кошельке (Tonkeeper, MyTonWallet) и основной баланс на hardware.
Можно, если речь о трейдинговом балансе. Для долгосрочного хранения — нет: 'not your keys, not your coins' остаётся главным правилом. Биржи закрываются (FTX 2022), блокируют выводы по jurisdiction (Binance для РФ в 2025), могут быть взломаны. Биржа = временная парковка для торговли, кошелёк = постоянное хранение.
Срочные шаги: (1) отключите кошелёк от dApp в настройках TON Connect; (2) переведите все оставшиеся активы на новый кошелёк с новой seed-фразой; (3) старый кошелёк больше не используйте — скомпрометированная seed-фраза навсегда уязвима; (4) проверьте Telegram-аккаунт на несанкционированные сессии и включите 2FA, если ещё нет. Восстановить уже уведённые средства практически невозможно.
TON Connect не требует от пользователя выдачи 'approve all' (в отличие от EVM-стандарта). Но фишинг-сайт может маскировать вредоносную транзакцию под обычный listing/swap — пользователь видит привычный prompt и подписывает. Drainer обычно скрывает реальные параметры за непонятным hex'ом. Главная защита — открывать кошельки и dApp'ы только с проверенных точек входа и читать каждую транзакцию перед подписью.
Для сумм $50k+ — да. Мульти-сиг (например, 2-of-3) превращает компрометацию одного устройства из катастрофы в инцидент. Минусы: сложнее восстановление (нужно несколько устройств одновременно), выше газ-расходы. Для команд и DAO мульти-сиг обязателен — это базовая операционная гигиена.
Минимум: (1) сверить домен с официальным каналом проекта в Telegram/Twitter; (2) проверить через ton.app, что dApp залистен; (3) посмотреть, есть ли публичный аудит (CertiK, SlowMist, Trail of Bits); (4) изучить TVL и возраст контракта на Tonscan — свежий контракт без аудита и с большим TVL — красный флаг. Для крупных сумм добавьте сюда тестовую сделку на $10–50.
Если кошелёк ещё установлен и не очищен — срочно перевести все активы на новый кошелёк с записанной seed-фразой. Сама по себе компьютерная установка не равна доступу: переустановка телефона/ноутбука без seed-фразы = потеря активов. Если кошелёк уже не доступен — активы потеряны без шанса на восстановление. Это и есть оборотная сторона self-custody.

Похожие материалы

← К списку статей