Dusting attack — это техника отслеживания и деанонимизации, где злоумышленник отправляет крошечные ("dust") суммы крипты на множество адресов, которые он хочет мониторить. Злоумышленник затем отслеживает последующую активность с этих адресов — особенно любую транзакцию, которая комбинирует dust с другими inputs — и использует связи, чтобы отобразить граф адресов обратно к одному владельцу или реальной идентичности.
Механизм на Bitcoin
UTXO-модель Bitcoin раскрывает inputs транзакции. Когда кошелёк комбинирует несколько UTXO (включая dusted UTXO) в одну транзакцию, инструменты chain-аналитики (Chainalysis, Elliptic, TRM Labs) инфериют, что все комбинированные inputs вероятно принадлежат одному и тому же владельцу кошелька. Злоумышленник наблюдает за этими событиями "consolidation" и использует их, чтобы расширить карту набора адресов цели.
Сумма dust обычно достаточно мала — $0,10 до $5 в BTC — что получатель не замечает. Атака терпелива: dust отправляется сегодня, выплата деанонимизации происходит месяцы или годы спустя, когда цель использует адрес для чего-то, что злоумышленника волнует (крупная покупка, чувствительная к приватности транзакция, вывод с биржи).
Dusting на Ethereum и других сетях
Account-based сети (Ethereum, BSC, Polygon) имеют другую модель угроз: адреса не комбинируют UTXO, поэтому consolidation-tracking версия dusting не применяется. Но та же общая техника появляется как "scam token dusting": злоумышленник отправляет ERC-20 токен на адрес цели. Токен — бесполезный мошеннический, но сам акт перевода раскрывает, что получающий адрес существует и мониторится.
Вариант: контракт мошеннического токена имеет вредоносные функции "approve" или "transfer", которые, при взаимодействии с кошельком со старыми approval, пытаются дренить активы. Защита проста: не взаимодействуйте с неизвестными токенами, появляющимися в вашем кошельке. Блокируйте их в UI кошелька; не пытайтесь "продать" их.
Кто проводит dusting-атаки
Три категории акторов:
Правоохранительные органы и налоговые власти. ФНС РФ совместно с Росфинмониторингом наращивает использование chain-аналитики (Chainalysis, наднациональных провайдеров) для идентификации реальных владельцев подозрительных адресов. С 2024 года ФНС открыто использует эту технику для расследований по 115-ФЗ.
Фирмы chain-аналитики (Chainalysis, Elliptic, TRM Labs). Работают коммерчески по контрактам с биржами, банками и государственными агентствами. Используют комбинацию dust-source данных, exchange-disclosed данных и pattern matching для поддержания текущих баз данных address-граф.
Криминальные акторы. Российские (внутренние) и северокорейские группы используют dusting для отслеживания потенциальных целей — кошельки с большим балансом, hot-кошельки бирж, держатели специфических классов активов — и для наблюдения за соперничающими группами. Целевой dust иногда предшествует попыткам фишинга или вымогательства по тому же адресу.
Что защищает от dusting
Две операционные привычки работают для большинства российских холдеров:
Помечайте dust UTXO как "не тратить" в вашем кошельке. Большинство современных Bitcoin-кошельков (Sparrow, Electrum, Wasabi) поддерживают это. Dust остаётся по адресу навсегда, никогда не комбинируется с другими inputs, и цель отслеживания злоумышленника побеждена.
Для нужд высокой приватности используйте функции coin-control. При составлении транзакции вручную выбирайте, какие UTXO тратить; никогда не позволяйте кошельку "автоматически" комбинировать inputs. UI coin-control в Sparrow Wallet — самая чистая реализация; Electrum и Wasabi похожи.
Для подавляющего большинства российских холдеров dusting — больше неудобство для приватности, чем финансовая угроза. Средства, рискующие от dust-атаки, малы; риск деанонимизации зависит от того, насколько вы хотели скрыться в первую очередь. Подстраивайте защиту под ваш реальный threat model.