Пылевая атака (dusting attack) — это новый вид вредоносной деятельности, который постепенно набирает обороты. Это позволяет хакерам и мошенникам попытаться раскрыть конфиденциальность пользователей биткоинов и других криптовалют. Для этого они рассылают крошечные суммы монет на кошельки пользователей. Затем злоумышленники будут отслеживать активность этих кошельков. Затем они могут выполнить коллективный анализ множества адресов, что даст возможность идентифицировать владельцев кошельков.
Как работают пылевые атаки?
Мошенники отправляют небольшую сумму любой криптовалюты на большое количество адресов. Эти малые части называют “пылью”. Сумма перевода может составлять всего лишь 1 сатоши, на которые многие пользователи даже не обратят свое внимание и не будут подозревать об опасности.
Затем злоумышленник ожидает, что человек потратит “пыль” вместе с UTXOs (Unspent Transaction (TX) Output — количество оставшейся криптовалютной «мелочи», которую вы получаете в качестве сдачи с каждой транзакции). После того как кошелек пользователя смешивает эту “пыль” с основным балансом и впоследствии тратит ее, злоумышленник сможет идентифицировать пользователя и будет отслеживать все его платежные адреса, включая те, которые будут регенерироваться в будущем.
В любой промежуток времени все криптографические данные в кошельке – это неизрасходованный вывод транзакций. То есть, это та криптовалюта, которая поступила на счет, но еще не была потрачена.
Кошелек генерирует новые адреса для каждой операции. Это сделано для безопасности: в виде дополнительного брандмауэра для каждой транзакции должна использоваться новая пара ключей, чтобы они не были связаны с общим владельцем.
Цель злоумышленника — распространить “пыль” по многим кошелькам, а затем наблюдать за ней, чтобы увидеть, сколько из нее может попасть в одну и ту же транзакцию. Если какая-то сумма включена, мошенник может сделать вывод, что все эти адреса принадлежат одному и тому же лицу. Хакер может использовать полученную информацию в своих целях.
На самом ли деле так опасны пылевые атаки?
Как правило, пылевая атака задевает обычных держателей криптовалют, которые даже не подозревают этого. Но стоит беспокоиться?
На самом деле, пылевые атаки не настолько опасны, как их характеризуют в интернете. Да и атакой их можно назвать с большой натяжкой. В большинстве случаев они представляют обычный спам. При отправке, так называемой “пыли”, к транзакции прикрепляется рекламное сообщение либо любая другая информация. Подобным маркетинговым ходом пользуется уже много компаний.
Что касается крупных игроков рынка, то знание бесчисленных адресов, принадлежащих компании, может ей дорого стоить. Это повлияет не только на саму фирму, но и на всю отрасль в целом. Данным компаниям все же стоит беспокоится за безопасность своей информации, а обычному владельцу криптовалют переживать не о чем.
Несколько крупных пылевых атак
За последнее время стало известно об несколько крупных пылевых атак. Изначально атаки выполнялись преимущественно с биткоином, но стали встречаться случаи и с другими криптовалютами.
Атака на кошельки Samourai
В конце осени 2018 года создатели биткоин кошельков Samourai сделали объявление о том, что многие из пользователей испытывают пылевые атаки. Компания будет продолжать выпускать твит, предупреждающий других пользователей о нападениях. Позже они расскажут, как они могут защитить своих клиентов. В дополнение к функции “не тратить” команда будет оперативно реализовывать оповещение в режиме онлайн для быстрого отслеживания “пыли”. Это позволит пользователям отмечать подозрительные средства, чтобы они не добавились в будущие транзакции.
Для того чтобы пылевая атака увенчалась успехом, она должна полагаться на анализ нескольких адресов. Если “пыль” не будет перемещена, то злоумышленники не смогут установить соединения, нужные для удаления анонимности кошелька. Samourai Wallet уже способен автоматически сообщать о подозрительных операциях своим пользователям.
Dust-Attack как инструмент маркетинга
Иногда данный вид атаки может использоваться в качестве маркетингового инструмента для рекламы услуг или повышения осведомленности о продукте. Например, на блокчейн-социальной медиа-платформе Steemit пользователи получают небольшие суммы Steem в своих кошельках вместе с сообщением о предлагаемых услугах.
Еще один пример был, когда BestMixer.io, занимающийся анонимизацией криптовалюты, применял “пыль” в качестве инструмента для рекламы. Осенью 2018 года сотням пользователей биткоин-кошельков начали приходить небольшие суммы BTC от BestMixer.io. Вместе с транзакциями было отправлено рекламное сообщение, которое описывало обслуживание сервиса. Ресурс использовал этот способ для эффективного таргетирования потенциальных пользователей с минимальными вложениями.
Таким же образом происходит бесплатная раздача токенов на блокчейнах эфириума и Tron которая называется AirDrop. Эйдропы бывают нескольких видов — в виде рассылки, а также требующие выполнения какого-то действия (например пригласить друга или пройти KYC) перед тем как получить токены.
Обман зрения?
Была еще одна заметная пылевая атака, которая произошла в 2019 году и получила достаточно широкую огласку. В Российском сообществе об этой атаке написал практически каждое уважающее себя СМИ со ссылкой на Binance-Академию и официальный твиттер-аккаунт известной биржи. Так-же об инциденте написали зарубежные СМИ, а первым человеком, который распознал нападение, был Джеймс Ягер, руководитель проекта в Академии Binance. 10 августа сообщество Binance получило новость о потенциальной атаке в сети Litecoin.
Команда объясняет в твите, что около 50 адресов Binance Litecoin имели на конце баланса дробное число (0.00000546) Litecoin. Группа безопасности биржи идентифицировала эту сумму как часть крупномасштабной пылевой атаки. 🙂
Соучредитель Glassnode, Ян Хаппель, внимательно изучил данную атаку, чтобы определить ее масштабы. По данным Binance, пострадали 50 пользователей. Однако Хаппель придерживается мнения, что масштаб был гораздо шире. Он утверждает, что почти 300 000 LTC-адресов имели признаки “запыления”.
Но это лишь начало истории.
Ошибка маркетолога
“Когда к тебе на кошелек приходят монетки, даже если ты не знаешь откуда — ты попробуешь понять кто их тебе отправил и вобьешь адрес отправителя в гугл” — решил наш маркетолог, который столкнулся со сложностями в привлечении новых клиентов к нашему пулу.
Так у него появилась идея отправить на адреса всех майнеров Litecoin, которые активны более двух лет немного лайтоши, с одного адреса, который при поиске в поисковиках выдавал бы один единственный индексированный сайт с приглашением на пул.
Всего с адреса LeEMCDHmvDb2MjhVHGphYmoGeGFvdTuk2K было отправлено по несколько лайтоши примерно на 17млн адресов (Ян Хаппель и Джеймс Ягер ошиблись на несколько порядков). По результатам на пуле EMCD зарегистрировалось всего 10 новых пользователей, которые добывают Litecoin на EMCD и по сей день.
К сожалению, объяснить руководителю академии Binance и СМИ смысл этого ЭирДропа не удалось, а весь интернет так и не узнал о задумке горе-маркетолога, зато на форумах появились обсуждения “пылевых атак”.
Нужно ли защищаться?
Если вы человек, которого не сильно волнует анонимность, то можете просто забыть о пылевых атаках. Но если для вас имеет значение анонимность, то существуют кошельки, которые позволяют добавить описание (или «флаг») к сатошам, которые были получены с неизвестного адреса. Сделав это, вы можете легко идентифицировать атаку. К сожалению, не все кошельки позволяют выбирать UTXOs вручную.
К сожалению, не всегда сразу понятны мотивы других людей, особенно в крипте, где каждый второй проект оказался скамом, поэтому нельзя сказать однозначно — нужно ли защищаться или нет. У Американского ФБР давно уже есть Bitfury Crystall, позволяющий отследить движения средств и их источники, поэтому если вы злоумышленник — против вас будут использоваться другие меры, нежели пылевая атака. А иначе, если вы все-таки обычный человек, который хранит свои монеты на кошельке — бояться вам нечего, потому что пылевая атака позволяет только получить информацию об адресе кошелька, но никак не о его владельце.
Команда разработки майнинг пула emcd.io эксклюзивно для forklog hub.