В последней декаде августа в Telegram появилась возможность вывода средств из встроенного кошелька «Мои TON».
Раздел «Мои TON» предназначен для оплаты рекомендуемых публикаций и покупки подарков. Однако, как выяснили специалисты «Кода Дурова», свободный вывод криптовалюты сопряжён с дополнительными мерами безопасности.
В приложении реализованы механизмы защиты, которые препятствуют несанкционированному доступу к средствам пользователя.
- Для вывода TON аккаунт должен пройти KYC-верификацию на Fragment и иметь активный код двухфакторной аутентификации (2FA).
- Код 2FA нужно было включить не менее чем за семь дней до запроса на вывод.
- Сессия, с которой осуществляется снятие средств, должна быть активна не менее 24 часов — при более старой авторизации операция недоступна.
Между тем пользователи уже несколько месяцев просят Павла Дурова усилить защиту подарков в профиле без необходимости конвертации их в TON.
В настоящий момент единственная защита даров — их вывод в криптовалюту. При этом сами подарки в аккаунте остаются уязвимыми: их можно передать любому собеседнику без ввода 2FA и без учёта времени сессии.
Такая уязвимость создаёт серьёзные риски. СМИ неоднократно сообщали о случаях попыток кражи подарков из профилей, в том числе с применением физического принуждения.
Напомним, ранее Telegram почти два месяца не позволял выводить токены TON. Подробнее об этом — по ссылке.