Добавить в корзинуПозвонить
Найти в Дзене
TON Adoption
80 подписчиков

Dust-атаки и фейковые airdrop'ы в TON: полевой гид 2026

9 мин
Открываешь Tonkeeper утром — а там новый токен с названием “TON Foundation Airdrop 2026” и балансом 1 500 единиц. Курс в описании — $0.42. Калькулятор быстро шепчет: $630 бесплатно. Кажется, что достаточно нажать “Swap to TON” и забрать деньги. На самом деле эти 30 секунд между “увидел” и “подписал” — самая распространённая точка потери средств в TON в 2025-2026. Это не drainer-сайт с фишингом, не подделка под Fragment — это dust-атака с honeypot-jetton’ом, и она прилетает к тебе сама, без клика. Разберём, как это устроено и что делать. Dust-атака — старая практика из Bitcoin: отправить микроскопическую сумму на тысячи адресов, чтобы потом по on-chain активности связать их в один кластер. В TON та же логика, но с двумя дополнительными мотивами. Мотив 1 — профилирование. Аналитический сервис (легальный или серый) отправляет 0.001 TON или специальный jetton-маркер на десятки тысяч адресов. Дальше отслеживает, кто из этих адресов перенёс пыль вместе с основным балансом — это даёт связь. П
Оглавление

Dust-атаки и фейковые airdrop'ы в TON: полевой гид 2026

Открываешь Tonkeeper утром — а там новый токен с названием “TON Foundation Airdrop 2026” и балансом 1 500 единиц. Курс в описании — $0.42. Калькулятор быстро шепчет: $630 бесплатно. Кажется, что достаточно нажать “Swap to TON” и забрать деньги. На самом деле эти 30 секунд между “увидел” и “подписал” — самая распространённая точка потери средств в TON в 2025-2026. Это не drainer-сайт с фишингом, не подделка под Fragment — это dust-атака с honeypot-jetton’ом, и она прилетает к тебе сама, без клика. Разберём, как это устроено и что делать.

TL;DR

  • Dust-атака — отправка пыли (микро-суммы TON или непонятного jetton’а) на тысячи кошельков ради профилирования или провокации взаимодействия.
  • Fake airdrop — приходящий “сам” jetton, выглядящий как раздача от известного бренда (TON Foundation, Notcoin, DOGS, Hamster), но с custom transfer-логикой, которая обчищает кошелёк при попытке swap.
  • TON уязвимее EVM-сетей в этом сценарии, потому что каждый jetton — отдельный контракт со своей логикой, а не унифицированный ERC-20.
  • Главное правило: с dust-jetton’ом ничего не делать. Не свапать, не переводить, не “проверять” через сайты — просто скрывать.
  • Tonkeeper и MyTonWallet прячут известный спам автоматически, но защищают не полностью — первые часы нового honeypot не помечены.

Что такое dust attack и что от него хотят

Dust-атака — старая практика из Bitcoin: отправить микроскопическую сумму на тысячи адресов, чтобы потом по on-chain активности связать их в один кластер. В TON та же логика, но с двумя дополнительными мотивами.

Мотив 1 — профилирование. Аналитический сервис (легальный или серый) отправляет 0.001 TON или специальный jetton-маркер на десятки тысяч адресов. Дальше отслеживает, кто из этих адресов перенёс пыль вместе с основным балансом — это даёт связь. Полученная карта продаётся либо OSINT-конторам, либо рекламным сетям, либо как часть compliance-аналитики для бирж.

Мотив 2 — приманка под honeypot. Это уже криминальный сценарий. Атакующий рассылает не нейтральную пыль, а специально сконструированный jetton, который выглядит ценным. Цель — спровоцировать жертву на подпись transfer-операции через DEX или подозрительный сайт. В момент подписи срабатывает custom-логика, и средства уходят.

Различить эти два мотива по виду токена нельзя — отделять их не нужно. Реакция одинаковая: ничего не делать, ничего не подписывать, скрыть.

Фейковые airdrop-jetton’ы: как работает honeypot

Сценарий, который ловит больше всего пользователей в 2026:

  1. День 0. Атакующий деплоит jetton-master с названием вроде “TON Foundation Airdrop”, “Notcoin Season 2”, “DOGS bonus”, “Telegram Premium Drop”. Метадата подделана: логотип TON-фонда, описание про “награду активным пользователям”.
  2. День 1. Скрипт раздаёт по 1 000-5 000 единиц этого jetton’а на адреса, по которым видна активность за последние 30 дней (через индексирование tonviewer / tonscan).
  3. День 1-3. Жертва открывает кошелёк, видит “бесплатные” токены с описанием, что курс — несколько центов или дольный TON. Идёт на DEX или на сайт из описания токена, пытается продать.
  4. Момент подписи. В пакетной транзакции вместе с jetton transfer уезжает либо весь TON-баланс кошелька (через скрытую operation), либо забирается approval на другой jetton, либо триггерится drainer-контракт. Реализаций несколько, исход один — потеря средств.

Это технически проще, чем drainer-сайт: атакующему не нужно покупать рекламу, верстать клон Getgems, ловить трафик. Сам токен — и реклама, и приманка, и платёжная инструкция в одном лице.

Почему именно TON-jetton с custom transfer-логикой опасны

Стандарт TEP-74 описывает интерфейс jetton’а: какие сообщения он должен принимать, какие отправлять, как считать баланс. Но TEP-74 — это интерфейс, а не запрет на расширения. Внутри jetton-master и jetton-wallet можно зашить любую логику, которая будет вызываться при transfer.

Что атакующие реально делают на практике:

  • Skim TON на каждом transfer. Jetton-wallet при операции отправляет внутреннее сообщение на адрес атакующего с куском оставшегося TON-баланса. Жертва думает, что переводит только jetton, но gas-расчёт скрывает значительный отток нативного TON.
  • Reject sell, accept buy. Контракт принимает transfer только от привилегированного адреса (например, DEX-пула атакующего) и отвергает transfer от обычного кошелька. Жертва видит “Insufficient gas” или “Transfer failed”, пытается ещё, тратит TON на gas — а продать не может.
  • Trigger drainer. Jetton-transfer тригерит forward-сообщение, которое ведёт на контракт-drainer. Подпись пользователя авторизует одну операцию, но эта операция через forward цепочку запускает несколько других.
  • Метадата с фишинговым URL. В описании jetton’а — ссылка на сайт “swap.ton-foundation-airdrop.app”, куда жертва переходит и подключает кошелёк через TON Connect. Дальше — обычный drainer-сценарий.

В Ethereum honeypot обычно реализуется через манипуляцию DEX-пула (модификация трансфер-комиссии, blacklist на sell). В TON атаковать можно прямо на уровне jetton-контракта, и пользователь, который привык к ERC-20 семантике, ловится именно на этом различии.

Как распознать dust/fake — sender, мастер-адрес, Re:Doubt

Несколько проверок, которые занимают минуту.

1. Sender — кто отправил. Откройте историю получения этого jetton’а в Tonkeeper или tonviewer. Если sender — один и тот же адрес, который отправил тот же jetton тысячам других кошельков за короткий промежуток, это массовая раздача. Реальные airdrop’ы Notcoin, DOGS, HMSTR раздавались через claim-механику с собственного сайта, а не падали сами.

2. Jetton-master address. Каждый jetton имеет master-контракт. Откройте его в tonviewer и посмотрите:

  • сколько холдеров;
  • сколько transfer-операций;
  • есть ли источник в Telegram-канале проекта;
  • совпадает ли адрес с тем, что указан на официальном сайте бренда.

Реальный TON Foundation никогда не раздаёт jetton’ы “от себя”. Любой “TON Foundation Airdrop” в твоём кошельке — фейк по умолчанию.

3. Re:Doubt и сторонние скоринги. Сервис redoubt.online и встроенные scam-флаги Tonkeeper отмечают известные dust-токены. Если jetton помечен — вопрос закрыт. Если не помечен и при этом ты не помнишь, чтобы куда-то claim’ил его руками, относись как к потенциальному honeypot.

4. Telegram-каналы проектов. У Notcoin (@notcoin_bullet), DOGS (@dogsofficial), TON Foundation (@toncoin) есть закреплённые посты с подтверждением реальных раздач. Никакая раздача “только в твоём кошельке без анонса” в эти каналы не вписывается.

Почему НЕ нужно пытаться продать или переслать dust

Главная ловушка: жертва видит “халяву” и думает, что если поторопиться — успеет продать раньше, чем все остальные. Это и есть психологический триггер, на который рассчитан honeypot. Несколько причин, по которым ничего делать с dust-jetton’ом нельзя.

  • Swap на DEX — DEX-агрегатор (STON.fi, DeDust) формирует свап-транзакцию, которая подписывается со стороны жертвы. В этой транзакции есть jetton_transfer на пул, и именно тут срабатывает custom-логика honeypot.
  • Прямой transfer на другой кошелёк — может вызвать skim-логику и слить нативный TON.
  • Попытка “хотя бы посмотреть курс” через сайт из описания токена — это и есть приглашение на drainer-сайт.
  • “Сжечь” токен на null-адрес — даже эта безобидная операция требует подписи transfer, и если в jetton’е custom-логика, она выполнится.

Правило простое: dust-jetton не предназначен для продажи. Он предназначен для того, чтобы ты попробовал его продать. Не нужно даже подходить к нему.

!Halva-эффектЧем “ценнее” выглядит токен в кошельке, тем агрессивнее на него хочется реагировать. Это работа поведенческой инженерии атакующего — увеличить кажущуюся ценность, чтобы выключить здравый смысл. Если jetton “стоит $600” и пришёл бесплатно — он не стоит $600, и ты не успеешь продать первым. Это правило.

Что делать: hide в Tonkeeper, не реагировать

Конкретно по шагам.

Tonkeeper. В разделе токенов нажми долгое касание на dust-jetton → “Скрыть”. Tonkeeper не удаляет токен из истории, но убирает его из основного списка. Альтернативно: Settings → Manage tokens → отключить отображение по конкретным.

MyTonWallet. Settings → Privacy & Security → Hide spam tokens. Включи фильтр, если выключен; он скрывает токены из встроенного blocklist’а автоматически.

Tonhub. В контексте токена есть опция Hide / Mark as spam. Срабатывает локально на устройстве.

После hide — больше никаких действий с этим jetton’ом не делать. Ни через год, ни когда “решишь почистить кошелёк”. Просто игнорировать навсегда. Состояние “висит в истории” не несёт риска; риск несёт попытка взаимодействия.

Стратегии для людей с активной активностью (несколько кошельков)

Если ты регулярно подключаешься к dApps, минтишь NFT, фармишь дропы — поток dust-токенов будет постоянным. Несколько практических привычек.

Сегментация кошельков по риску. Холодный кошелёк (Ledger) — для основных активов, никогда не подключается к dApps и не получает airdrop’ы. Тёплый — для повседневных swap-ов, с балансом $50-200. Одноразовый — для участия в новых дропах и подключения к незнакомым dApps, с балансом близким к нулю. Dust-токены и фейк-airdrop’ы прилетают чаще всего на тёплый и одноразовый — там их и хороним без эмоций. Подробнее в гайде по безопасному фармингу дропов.

Не консолидируй средства из одноразового в основной. Если ты получил пыль и потом перевёл нативный TON с одноразового на тёплый, аналитический сервис связывает адреса. Лучше выводить через off-ramp (биржу) или через изолированный новый адрес.

Регулярно отзывай TON Connect сессии. Раз в неделю — Tonkeeper → Connected apps → отозвать всё, кроме закладок которыми реально пользуешься. Это закрывает побочные drainer-сценарии, в том числе те, которые провоцируются dust-токенами с фишинговой метадатой.

Не вводи seed нигде, никогда. Любой dust-токен, который ведёт на сайт, где просят “ввести seed для проверки eligibility” — это не honeypot и не drainer, это прямое выкачивание. См. разбор drainer-сайтов и топ-10 скам-схем для смежных сценариев.

Внимание к jetton-метадате. Прежде чем что-либо делать с любым новым jetton’ом, открой tonviewer.com и проверь master-адрес, holders, transfer history. Если ничто не сходится с тем, что заявлено в названии — это фейк. Подробнее про устройство jetton’а — в статье про jetton-стандарт и разборе TEP-74.

Заключение

Dust-атаки и fake-airdrop’ы — самый дешёвый и масштабируемый класс атак в TON в 2026. Атакующему не нужно ни покупать рекламу, ни клонировать сайты — он просто рассылает honeypot-jetton и ждёт, кто попытается его продать. Жертва приходит сама. Это значит, что главная защита — поведенческая, не техническая: научиться видеть появившийся “из ниоткуда” jetton и не реагировать на него.

Технические средства (spam-фильтр Tonkeeper, Re:Doubt, скоринги) полезны, но всегда отстают на несколько часов от свежей кампании. Окно уязвимости — именно тот промежуток, когда новый токен ещё не помечен. В этот момент работает только привычка: новый jetton ≠ деньги. Новый jetton = пометить и забыть.

Источники