Dusting attack — це техніка відстеження і деанонімізації, де зловмисник відправляє крихітні ("dust") суми крипти на безліч адрес, які він хоче моніторити. Зловмисник потім відстежує наступну активність з цих адрес — особливо будь-яку транзакцію, що комбінує dust з іншими inputs — і використовує зв'язки, щоб відобразити граф адрес назад до одного власника або реальної ідентичності.
Механізм на Bitcoin
UTXO-модель Bitcoin розкриває inputs транзакції. Коли гаманець комбінує декілька UTXO (включно з dusted UTXO) в одну транзакцію, інструменти chain-аналітики (Chainalysis, Elliptic, TRM Labs) інферять, що всі комбіновані inputs ймовірно належать одному і тому ж власнику гаманця. Зловмисник спостерігає за цими подіями "consolidation" і використовує їх, щоб розширити карту набору адрес цілі.
Сума dust зазвичай досить мала — $0,10 до $5 у BTC — що отримувач не помічає. Атака терпляча: dust відправляється сьогодні, виплата деанонімізації відбувається місяці або роки потому, коли ціль використовує адресу для чогось, що зловмисника хвилює (велика покупка, чутлива до приватності транзакція, виведення з біржі).
Dusting на Ethereum та інших мережах
Account-based мережі (Ethereum, BSC, Polygon) мають іншу модель загроз: адреси не комбінують UTXO, тому consolidation-tracking версія dusting не застосовується. Але та сама загальна техніка з'являється як "scam token dusting": зловмисник відправляє ERC-20 токен на адресу цілі. Токен — марний шахрайський, але сам акт переказу розкриває, що адреса отримувача існує і моніториться.
Варіант: контракт шахрайського токена має шкідливі функції "approve" або "transfer", що, при взаємодії з гаманцем зі старими approval, намагаються дренити активи. Захист простий: не взаємодійте з невідомими токенами, що з'являються у вашому гаманці. Блокуйте їх в UI гаманця; не намагайтеся "продати" їх.
Хто проводить dusting-атаки
Три категорії акторів:
Правоохоронні органи і податкові влади. Українська Кіберполіція (вул. Богомольця 10, Київ) і ДПС нарощують використання chain-аналітики для ідентифікації реальних власників підозрілих адрес. З 2024 року ДПС працює з Hacken і міжнародними провайдерами для подібних розслідувань.
Фірми chain-аналітики (Chainalysis, Elliptic, TRM Labs). Працюють комерційно за контрактами з біржами, банками і державними агентствами. Використовують комбінацію dust-source даних, exchange-disclosed даних і pattern matching для підтримання поточних баз даних address-граф.
Кримінальні актори. Російські групи (особливо активні проти українських цілей з 2022 року), північнокорейський Lazarus Group використовують dusting для відстеження потенційних цілей — гаманці з великим балансом, hot-гаманці бірж, власники специфічних класів активів — і для нагляду за суперницькими групами.
Що захищає від dusting
Дві операційні звички працюють для більшості українських голдерів:
Позначайте dust UTXO як "не витрачати" у вашому гаманці. Більшість сучасних Bitcoin-гаманців (Sparrow, Electrum, Wasabi) підтримують це. Dust залишається за адресою назавжди, ніколи не комбінується з іншими inputs, і ціль відстеження зловмисника переможена.
Для потреб високої приватності використовуйте функції coin-control. При складанні транзакції вручну обирайте, які UTXO витрачати; ніколи не дозволяйте гаманцю "автоматично" комбінувати inputs. UI coin-control у Sparrow Wallet — найчистіша реалізація.
Для переважної більшості українських голдерів dusting — більше незручність для приватності, ніж фінансова загроза. Кошти, що ризикують від dust-атаки, малі; ризик деанонімізації залежить від того, наскільки ви хотіли сховатися спочатку.