Безопасный TON-discovery: чеклист для новичка

Самые дорогие ошибки в TON делают не на сложных DeFi-стратегиях. Их делают на простых вещах: открыли не тот сайт кошелька, подписали не тот запрос, переслали TON не на тот адрес. Большинство этих потерь можно предотвратить пятиминутным due-diligence.

Ниже — чеклист из 12 быстрых проверок, которые стоит пройти перед использованием любого нового для вас инструмента в TON: кошелька, DEX, dApp, mini-app, моста, стейкинг-сервиса.

Перед началом: три типа discovery

Чтобы чеклист применялся осознанно, поймите, какой именно discovery вы делаете:

Тип 1: кошелёк. Самый высокий риск, потому что вы вводите сид-фразу или ключ. Скомпрометированный кошелёк = весь TVL потерян.

Тип 2: DEX / lending / стейкинг. Средний риск. Вы подключаете уже существующий кошелёк через TON Connect; смарт-контракты могут списать только то, что вы подписываете.

Тип 3: dApp / mini-app / Telegram-бот. Variable risk. Может быть фишингом, выкачивающим подписи. Может быть легитимным, но дырявым. Может быть честным.

Для всех трёх работает один чеклист — но веса пунктов разные.

Чеклист: 12 пунктов

1. Проверьте домен глазами (30 секунд)

Откройте сайт. Посмотрите на URL в адресной строке. Сравните по буквам с эталоном:

• tonkeeper.com — правильно
• tonkeperr.com, tonkeepers.com, t0nkeeper.com, tonkееper.com (с кириллической «е») — фишинг.

Скам-домены часто используют:

• Удвоение букв (keeper → keeperr)
• Замену похожих символов (o → 0, латинская e → кириллическая е)
• Дополнительные суффиксы (tonkeeper-app.com)

Красный флаг: домен пришёл из ссылки в Telegram-чате, и вы не помните, чтобы кто-то рекомендовал именно этот URL.

2. Проверьте SSL и сертификат (10 секунд)

Кликните на замочек в адресной строке. У легитимного протокола:

• Зелёный замок без предупреждений.
• Сертификат выдан надёжным CA (Let’s Encrypt, Cloudflare, DigiCert).
• Срок действия не «вчера истёк».

Красный флаг: «Connection not private», самоподписной сертификат, истёкший срок.

3. Найдите аккаунт в Twitter / X (1 минута)

У легитимного протокола есть Twitter с:

• 5,000+ подписчиков (для серьёзного протокола — 50,000+).
• История твитов 6+ месяцев.
• Регулярные посты, не молчание после релиза.

Красный флаг: Twitter заведён 2 недели назад, 200 подписчиков, последний пост 2 месяца назад.

4. Найдите официальный Telegram (1 минута)

В крипте Telegram = главный канал коммьюнити. У легитимного протокола:

• Telegram-канал с 1,000+ подписчиками.
• Public чат для вопросов.
• Bot для уведомлений / поддержки.

Красный флаг: только private-чат без описания; команда не отвечает; канал заводился в день, когда вы про него услышали.

5. Проверьте аудиты (2 минуты)

Для DeFi-протокола это обязательно. Идите на сайт, ищите страницу «Security» или «Audits»:

• Кто аудировал? Известные имена: Hacken, Halborn, Trail of Bits, Quantstamp, CertiK, OpenZeppelin.
• Когда? Если последний аудит 2 года назад, и с тех пор код радикально менялся — это плохо.
• Где найти полный PDF отчёта?

Красный флаг: «We are audited» без ссылки на отчёт; аудит от никому не известного «AuditBros LLC».

6. Проверьте TVL и количество пользователей (1 минута)

Откройте DeFiLlama или TonAPI. У легитимного работающего протокола:

• TVL > $100K (для маленького) или > $1M (для серьёзного).
• Стабильный рост или умеренные колебания, не свечой ±90%.
• 100+ уникальных пользователей в день.

Красный флаг: TVL = $200 (рисуют 3 транзакции для видимости), 1-2 уникальных пользователя.

7. Проверьте open-source (1 минута)

У легитимного протокола обычно есть GitHub. Смотрите:

• Активность за последние 90 дней — есть коммиты?
• Issues — кто-то отвечает?
• Контракты опубликованы?

Красный флаг: GitHub есть, но 2 коммита и оба от 2024 года; контракты «закрытые из соображений безопасности».

8. Проверьте инциденты (2 минуты)

Гугл-запрос: <название протокола> hack OR exploit OR drain. Прочитайте, что нашлось:

• Если инциденты были — как протокол реагировал? Прозрачно или замалчивая?
• Компенсации пользователям были?
• Code review после инцидента есть?

Инцидент в прошлом не дисквалифицирует — но реакция дисквалифицирует.

Красный флаг: инцидент был, информации мало, команда замолчала на месяц.

9. Проверьте Twitter-комьюнити (1 минута)

Поиск в Twitter: <название протокола>. Смотрите, что пишут пользователи за последний месяц:

• Жалобы на «не пришли деньги», «контракт завис», «отозвали без обещаний»?
• Активный engagement (real users, not bots)?
• Тон — отзывы или хайп-постинг?

Красный флаг: все твиты про протокол — от 10 одинаковых аккаунтов с buy-the-dip энергией.

10. Проверьте, есть ли протокол в курированных каталогах (1 минута)

TON Foundation поддерживает каталог проектов; на нашем сайте есть каталог TON-кошельков, каталог TON DEX, каталог TON CEX. Если протокол не в одном из таких каталогов — это не дисквалифицирует, но требует более серьёзной проверки остальных пунктов.

Красный флаг: протокол отсутствует во ВСЕХ курированных списках, при этом активно продвигается.

11. Подключение: подпись запроса (30 секунд при первом коннекте)

Когда вы коннектитесь через TON Connect, кошелёк показывает запрос на подпись. Прочитайте его:

• Что подписываете? Кошелёк должен показывать domain и описание.
• Запрашиваются ли неожиданные права (например, на «всех jetton’ов баланса»)?
• Появляется ли warning о неверифицированном dApp?

Подробнее про signData и фишинг через TON Connect — в нашем материале.

Красный флаг: кошелёк показывает только «Sign» без описания; запрос на права, которые вам не нужны для текущей операции.

12. Первая транзакция: тестовая (1-5 минут)

Перед основной операцией сделайте тестовый перевод небольшой суммы (например, 1 TON, или $5 в стейблкоинах). Проверьте:

• Транзакция прошла?
• Деньги поступили туда, куда обещано?
• Если есть обратная операция — она тоже работает?

Это банально, но самая популярная проверка, которую новички пропускают. 5 минут теста экономят часы паники и тысячи долларов.

Красный флаг: тестовая транзакция «зависла» дольше 10 минут, поддержка молчит, в эксплорере видно ошибку.

Что делать, если протокол не прошёл проверку

• Не используйте его. Ни на $100, ни на $5.
• Найдите альтернативу. Для каждой категории есть проверенные опции.
• Сообщите сообществу. Если это явная скам-копия — в Twitter и Telegram-канал реального протокола. Это помогает следующим жертвам.

Где брать «проверенные альтернативы»

Курированные каталоги, которые мы поддерживаем:

• Кошельки: /wallets/ — 8 проверенных кошельков с обзорами.
• DEX: /dex/ — 5 крупнейших DEX на TON.
• CEX для покупки TON: /cex/ — 5 бирж с учётом доступа из России.

Каждая запись содержит: pros/cons, оценку, ссылки на аудиты, и описание известных рисков.

Самые опасные ошибки новичка в TON

Топ-3 потерь, которые я вижу:

1. Address poisoning. Кто-то отправляет вам мини-транзакцию TON с адреса, очень похожего на адрес вашего знакомого. В следующий раз, копируя адрес из истории, вы случайно копируете подменный. Подробнее — в материале про address poisoning.

2. Фишинг через копию домена. tonkeperr.com вместо tonkeeper.com. Вы вводите сид-фразу для «восстановления кошелька» — её утаскивают.

3. Telegram social engineering. Поддельный саппорт в Telegram пишет «У вас проблема с кошельком, давайте проверим. Введите сид-фразу боту для диагностики». Никакой легитимный саппорт никогда не просит сид-фразу. Подробнее — в материале про социнженерию в Telegram.

Если запомнить только три правила:

• Никому никогда не показывайте сид-фразу. Даже саппорту, даже под предлогом «диагностики».
• Адрес назначения сверяйте посимвольно, особенно последние 6 знаков.
• Перед любой новой операцией — тестовый перевод.

Что в итоге

12 пунктов кажутся много, но в реальности на проверку известного протокола уходит 2-3 минуты — большую часть вы уже знаете. Для нового — 15-20 минут. Это меньше, чем час работы; это меньше, чем переговоры по возврату средств после скама (которые скорее всего не получится).

Полный гайд по безопасности TON для новичка — тут. Реальные кейсы фишинга и social engineering — материал про скам в TG-чатах.