Пылевая Атака ?

[bomj]

Просматривая новостную ленту, наткнулся на статью: "Понимание пыльной атаки Litecoin: что произошло и почему".
Из этой статьи  я узнал о новом для себя термине "Пыльная атака".

Процитирую данное понятие из статьи ХАБРа:
 

Dusting Attack относится к новому виду вредоносных действий, когда хакеры или мошенники пытаются выяснить личность владельца кошелька Bitcoin или другой криптовалюты, отправляя крошечные суммы монет на их личные кошельки. Затем транзакции этих кошельков отслеживаются злоумышленниками, которые выполняют комбинированный анализ нескольких адресов, пытаясь идентифицировать владельца кошелька.

Цель состоит в том, чтобы в конечном итоге иметь возможность связать адреса и кошельки, с соответствующими компаниями или частными лицами. В случае успеха, злоумышленники могут использовать эту информацию против своих целей, либо с помощью тщательно разработанных фишинговых атак или угроз кибер-вымогательства.

Если покопаться в профиле фактически любого пользователя, то можно найти кошелек одного
из нескольких блокчейнов.
Правилу сохранения полной анонимности придерживаются или истинные криптоанархисты или держатели
внушительных кошельков.

Бинанс:

Определение Пыли
На языке криптовалюты, термин пыль относится к крошечному количеству монет или токенов, такому небольшому количеству, что люди склонны его игнорировать. На примере Биткойна, наименьшей единицей валюты является 1 сатоши (0,00000001 BTC), и мы можем назвать пару сотен сатош пылью.

Другими словами, пыль - это крошечная транзакция или сумма, которую даже не стоит отправлять, потому что она намного меньше комиссии за транзакцию. На криптовалютных биржах, пыль обозначает крошечное количество монет, которые “застряли” и не подлежат торговле.

Большинство людей не обращают внимания на пыль в своем кошельке и редко беспокоятся о её происхождении. До недавнего времени было совершенно нормально не обращать внимания на эти крошечные суммы на ваших кошельках, но с появлением пылевых атак мы уже не можем этого сказать.

ХАБР:

Технически говоря, предел пыли рассчитывается в соответствии с размером входов и выходов, который обычно составляет 546 сатоши для обычных транзакций Bitcoin (не-SegWit) и 294 сатоши, для собственных транзакций SegWit. Это означает, что любая обычная транзакция, равная или меньшая 546 сатоши, будет считаться спамом, и вероятно, будет отклонена проверяющими нодами.

Хорошее описание механизма Пыльной Атаки(Dusting Attack) изложено в данной статье:

Как работает Dusting Attack
Чтобы подорвать защиту, обеспечиваемую работой вашего кошелька, злоумышленник отправляет UTXO на один из ваших адресов. Как объяснено выше, это обычно очень небольшие количества биткойнов или сатоши, которые поэтому также называются пылью и часто игнорируются получателем.
Основой этой процедуры является функциональность вашего кошелька. Теперь мы знаем, что обычно есть несколько UTXO разных размеров на разных адресах, которыми управляет ваш кошелек. Если вы хотите отправить определенную сумму, то ваш кошелек объединяет разные UTXO друг с другом, чтобы увеличить сумму. Он также использует разные адреса, где хранятся соответствующие UTXO.
В этот момент вспомните пример булочки у пекарей. Если вы хотите сгенерировать транзакцию, ваш кошелек увеличит сумму, подлежащую выплате, комбинируя различные UTXO с разных адресов. Таким образом, ваш кошелек создает транзакцию через несколько входов с разных адресов.
Злоумышленник ожидает, что ваш кошелек использует UTXO, который он отправил для следующей транзакции, и объединяет его с UTXO с других ваших адресов. Тот факт, что для транзакции используются UTXO с разных адресов, показывает злоумышленнику, что все задействованные адреса контролируются вами.
С этого момента злоумышленник постепенно сможет отслеживать все ваши адреса. Сеть адресов, управляемых вашим кошельком, будет раскрыта, включая автоматически восстановленные адреса в будущем.

Из статьи CRYPTOS.TV:

Пользователи, получившие такой криптовалютный «подарок», не подозревают с чем могут столкнуться в будущем.

К примеру биржи, которые придерживаются правил KYC и AML, занимаются мониторингом попавших под подозрение учетных записей и отслеживают транзакции. В случае, если подозрения подтвердились, пользователя связывают с незаконной деятельностью и блокируют аккаунт, с возможным предоставлением личных данных правоохранительным органам.

Полученную пыль не стоит использовать или пересылать, так как это может нанести ущерб вашей репутации и безопасности.

Здесь я не совсем понял: Каким образом выделить данную пыль из крипты?

Перед крупными компаниями и организациями, которые попали под пыльную атаку, стоит более сложная задача. Им необходимо сотрудничать с представителями по борьбе с отмыванием денег и иметь возможность выявлять криптовалюту, полученную в результате микшированной рассылки.

Т.е. из данных статей можно понять, что опасно не только получать пыль, но и отправлять ее
для каких либо других целей?
Но с другой стороны, как говорил корифей Антонопулос:

«Если мы начинаем принимать решения о том, что такое спам, а что нет, мы сейчас выбираем будущее Биткойна и ограничиваем его в соответствии с набором приложений, которые только мы можем себе представить. И блестящий человек, который создает приложение, которое мы не можем себе представить - возможно, для нас это выглядело как спам, - не переносится по сети, потому что мы приняли нисходящее решение сказать, что транзакция незаконна ».

Если вы платите комиссию, транзакция не является спамом

Антонопулос сказал, что любая транзакция, за которую пользователь взимает плату, является законной по определению. Он добавил: «Сам факт уплаты комиссии легитимизирует сделку».

И как видно "Пылевые атаки" проводятся в блокчейнах различных криптовалют.
Так стоит ли их нам бояться?

Материалы:
https://cointelegraph.com/news/understanding-litecoins-dusting-attack-what-happened-and-why
https://www.binance.vision/ru/security/what-is-a-dusting-attack
https://cryptos.tv/crypto-dusting-bojtes-danajcev-dary-prinosyashhix/
https://habr.com/ru/post/450430/
https://bitcoinmagazine.com/articles/antonopoulos-there-are-no-spam-transactions-in-bitcoin-1463081880
https://medium.com/swlh/what-is-a-dusting-attack-9990b7c8bd1d
https://www.youtube.com/watch?v=_dPkAxRwvew

[1713948060]

1713948060

[1713948060]

1713948060

[1713948060]

1713948060

[johhnyUA]

Как будет мерит - скину.

Но теперь к самой сути: Я реально не могу понять смысл такой атаки.

Ну тоесть я отлично понимаю зачем оно делается, с какой целью. Но именно вектор атаки немного странный. Коротко о сути атаки если кто-то не понял из статьи:

Есть условные адреса adr1, adr2, adr3 . Сами по себе они анонимны, но в теории могут принадлежать одному человеку, или даже одному кошельку (звено HD кошелька, можно еще читать как "аккаунт"). Ну вот, отправляют на эти три адреса пылевые переводы, по 200 сатоши (чисто пример). Получаем dust_input1, dust_input2, dust_input3.  Юзер, владелец этих адресов, ни о чем не подозревая, совершает транзакцию, да такую, что для ее выполнения нужно задействовать все адреса. Формируется транзакция где оплата проводится со всех трех адресов, и очевидно там фигурируют dust_input1/2/3. Ну тоесть выглядеть это будет как то так:

Code:

dust_input1 + input1 \
dust_input2 + input2 ----> output: adr4 
dust_input3 + input3 /

И все, адреса залинкованы.
НО! Те кто читал внимательно, поняли что если эти пылевые входы выбросить, то блин ничего не поменяется. Адреса так же отлично залинкуются между собой. Достаточно один из адресов в вотч лист добавить на любом блокэксплорере и ждать.  Вот это я и не понимаю

Единственное адекватное объяснение которое я могу подобрать в силу своих знаний, это что таким образом идет упрощение собственно этой слежки. Систематизация и упрощение. Как бы сложно с вотч листа следить за адресом, даже программе. А так прописал проверку на совместные инпуты, и чтобы тебя уведомило, и все.

Полученную пыль не стоит использовать или пересылать, так как это может нанести ущерб вашей репутации и безопасности.

А вот с этого я немного орнул. Есть у тебя на балансе 0.1 бтц, тебе приходит условная "пыль", и при любой попытке потратить эти 0.1 бтц с адреса она включится в транзакцию как вход, по любому. Вот я и представляю среднестатистического пользователя который такой: "Ой, это же ужасная пыль. Сейчас ка я зайду в консоль и руками то проставлю нужные входы, чтобы нечаянно пыль не потратить" 

[kzv]

Атака пылью нужна для того, кто зачем-то хочет засрать мемпул и тем самым увеличить комиссии за транзакции. Монета при такой атаке получает минус к репутации, пользователи начинают искать альтернативы... Если параллельно с атакой кто-то ведет массированный пиар нового форка (в названии которого есть слово 'биткоин', не будем показывать пальцем лол), то с вероятностью примерно 146, автор форка и является атакующим.

ЗЫ это я про атаку когда пылью засирают мемпул. То, что описано в стартовом посте я тоже не понял: какой смысл посылать пыль в кошелек анонимуса?  Как такая 'покрашенная' пыль поможет его деанонимизировать? Лажа какая-то.

[GGUL]

Атака пылью нужна для того, кто зачем-то хочет засрать мемпул и тем самым увеличить комиссии за транзакции. Монета при такой атаке получает минус к репутации, пользователи начинают искать альтернативы... Если параллельно с атакой кто-то ведет массированный пиар нового форка (в названии которого есть слово 'биткоин', не будем показывать пальцем лол), то с вероятностью примерно 146, автор форка и является атакующим.

Дедукция, достойная восхищения. Думаю, в средневековье на основании подобных же доказательств сжигали ведьм.

[chimk]

Атака пылью нужна для того, кто зачем-то хочет засрать мемпул и тем самым увеличить комиссии за транзакции. Монета при такой атаке получает минус к репутации, пользователи начинают искать альтернативы... Если параллельно с атакой кто-то ведет массированный пиар нового форка (в названии которого есть слово 'биткоин', не будем показывать пальцем лол), то с вероятностью примерно 146, автор форка и является атакующим.

ЗЫ это я про атаку когда пылью засирают мемпул. То, что описано в стартовом посте я тоже не понял: какой смысл посылать пыль в кошелек анонимуса?  Как такая 'покрашенная' пыль поможет его деанонимизировать? Лажа какая-то.

я бы сказал, что по крайней мере, там есть мотив. информационные вбросы, суть атаки, через СМИ, усиливают подозрение.

[Gellert Grindelwald]

Очень познавательно, благодарю. Ранее только краем уха слышал о подобных диверсиях, но теперь все стало более понятно.
Думаю обычному пользователю нечего бояться, ведь кто будет компрометировать человека с 1-2 Биткоина, а то и меньше? Скорее всего, злоумышленники ищут более крупные кошельки, ведь затраченное время и средства должны быть отбиты. Такие атаки, скорее всего, нацелены на более публичных личностей (депутаты, звезды и т.д.), которые хотят скрыть свое состояние где то в глубинах блокчейна.

[johhnyUA]

Только "извращенцы" опыляют три (фигурально) адреса. Обычно счет идет на десятки, а то и сотни тысяч за один раз, в надежде (зачастую оправдываемой)  с помощью эвристического анализа  определить в графе транзакций кластеры связанных адресов и в этих кластерах найти те адреса, которые в состоянии раскрыть личности. Обычно это адреса, которые связаны с теми  местами, где юзеры вынуждены  проходить  через процедуру KYC. Распылением грешат "исследовательские" группы и правительственные агентства.

Я все равно не особо понимаю смысл атаки. Есть конкретный интересующий тебя адрес, вот его можно анализировать и без даст атаки. Смотришь историю транзакций, какие адресы с ним залинкованы и так далее. По сути все тоже самое, только без "пыли". Пыль здесь как по мне лишняя. Она не влияет никак.

Хочешь проверить 10000 адресов, так а что тебе мешает проверить их так, каким нибудь Chainalysis ? Опять таки, единственный аргумент который я могу привести, это то, что условная программа следит только за линкованием этих пылевых выходов. Может это и проще и более энерго эффективно чем сверять входы/выходы интересующих адресов между собой.

[bomj]

Я все равно не особо понимаю смысл атаки. Есть конкретный интересующий тебя адрес, вот его можно анализировать и без даст атаки. Смотришь историю транзакций, какие адресы с ним залинкованы и так далее. По сути все тоже самое, только без "пыли". Пыль здесь как по мне лишняя. Она не влияет никак.

В общем-то я согласен с @johhnyUA, но вот нашел интересную статью, которая  более-менее
проясняет ситуацию с Dusting Attacks:

Как работает Dusting Attack
Чтобы подорвать защиту, обеспечиваемую работой вашего кошелька, злоумышленник отправляет UTXO на один из ваших адресов. Как объяснено выше, это обычно очень небольшие количества биткойнов или сатоши, которые поэтому также называются пылью и часто игнорируются получателем.
Основой этой процедуры является функциональность вашего кошелька. Теперь мы знаем, что обычно есть несколько UTXO разных размеров на разных адресах, которыми управляет ваш кошелек. Если вы хотите отправить определенную сумму, то ваш кошелек объединяет разные UTXO друг с другом, чтобы увеличить сумму. Он также использует разные адреса, где хранятся соответствующие UTXO.
В этот момент вспомните пример булочки у пекарей. Если вы хотите сгенерировать транзакцию, ваш кошелек увеличит сумму, подлежащую выплате, комбинируя различные UTXO с разных адресов. Таким образом, ваш кошелек создает транзакцию через несколько входов с разных адресов.
Злоумышленник ожидает, что ваш кошелек использует UTXO, который он отправил для следующей транзакции, и объединяет его с UTXO с других ваших адресов. Тот факт, что для транзакции используются UTXO с разных адресов, показывает злоумышленнику, что все задействованные адреса контролируются вами.
С этого момента злоумышленник постепенно сможет отслеживать все ваши адреса. Сеть адресов, управляемых вашим кошельком, будет раскрыта, включая автоматически восстановленные адреса в будущем.

Хотя с другой стороны все это напоминает хитрожо-ю кампанию крупных бирж и разрабов кошельков:
"Ребята, не трогайте мелочь. Она опасна!"
И если разработчики Samourai считают размер пыли до 546 сатоши, то Бинанс судя по их видео
пошли дальше - 3000 сатоши. (этак можно далеко зайти) Молодцы 
Но вероятно я заблуждаюсь....))

[johhnyUA]

Как работает Dusting Attack
Чтобы подорвать защиту, обеспечиваемую работой вашего кошелька, злоумышленник отправляет UTXO на один из ваших адресов. Как объяснено выше, это обычно очень небольшие количества биткойнов или сатоши, которые поэтому также называются пылью и часто игнорируются получателем.
Основой этой процедуры является функциональность вашего кошелька. Теперь мы знаем, что обычно есть несколько UTXO разных размеров на разных адресах, которыми управляет ваш кошелек. Если вы хотите отправить определенную сумму, то ваш кошелек объединяет разные UTXO друг с другом, чтобы увеличить сумму. Он также использует разные адреса, где хранятся соответствующие UTXO.
В этот момент вспомните пример булочки у пекарей. Если вы хотите сгенерировать транзакцию, ваш кошелек увеличит сумму, подлежащую выплате, комбинируя различные UTXO с разных адресов. Таким образом, ваш кошелек создает транзакцию через несколько входов с разных адресов.
Злоумышленник ожидает, что ваш кошелек использует UTXO, который он отправил для следующей транзакции, и объединяет его с UTXO с других ваших адресов. Тот факт, что для транзакции используются UTXO с разных адресов, показывает злоумышленнику, что все задействованные адреса контролируются вами.
С этого момента злоумышленник постепенно сможет отслеживать все ваши адреса. Сеть адресов, управляемых вашим кошельком, будет раскрыта, включая автоматически восстановленные адреса в будущем.

Хорошее описание. Я правда все так и сам понимал, и вот опять таки, адреса линкуются и сами по себе, если пользоваться отправкой с кошелька (обычная отправка) а не создавать транзакции вручную (не везде даже можно такое). Шо будет пыль, шо не будет, разницы лично я не вижу особо.

[chimk]

и что делать юным параноикам с пылью, на трезоре или электруме?

[johhnyUA]

и что делать юным параноикам с пылью, на трезоре или электруме?

Ничего. Это считай "петушинный поцелуй". Тебе придется вечно формировать транзакции руками, указывая нужные выходы (это для первой транзакции) а потом следить чтобы кошелек не использовал неизрасходованный выход с "петушинного"/"запыленного" адреса. Геммор еще тот. Особенно на кошельках где нельзя нормально формировать транзакцию в консоли (хоть у самого Электрум, никогда так не пробовал с него делать)

Вариант попроще: миксеры или кидок на биржу (через ВПН понятное дело), и конвертация там. Если конечно биржа без КУС.

По поводу самой атаки вот что я подумал и решил: оно делается для упрощения анализа и менеджмента. Намного проще просто проверить тратился ли твой пылевой выход и сравнить с тем какие тратились в это же время или на тот же адрес, чем постоянно чекать адреса, строить от них древа транзакций, сверять между собой и так далее. Тоесть более простой и удобный способ.

[chimk]

и что делать юным параноикам с пылью, на трезоре или электруме?

Ничего. Это считай "петушинный поцелуй". Тебе придется вечно формировать транзакции руками, указывая нужные выходы (это для первой транзакции) а потом следить чтобы кошелек не использовал неизрасходованный выход с "петушинного"/"запыленного" адреса. Геммор еще тот. Особенно на кошельках где нельзя нормально формировать транзакцию в консоли (хоть у самого Электрум, никогда так не пробовал с него делать)

а как это сделать? показал бы в инструкции по электруму. я почему то думал, что так не получиться сделать. Если есть возможность отправить баланс без пыли, может просто уйти на новый кошелек, похоронив пыль лет на 10, на старом кошельке

[igor72]

Возможность выбора входов в Electrum есть. В данном случае все вообще просто - любой вход или адрес при желании морозится (во вкладке "Coins" функция Freeze), и такие входы/адреса просто никогда не будут использоваться при формировании транзакций. Эта "заморозка" сохраняется в файле кошелька. При восстановлении кошелька из мнемонической фразы всякие лейблы, описания и фризы, естественно, не восстановятся - если это важно сохранить, придется бэкапить и файл кошелька.

Кстати Электрум, (если выбирать входы не руками а предоставить все ему  на  откуп) , выбирает адреса  по принципу FIFO - первый вошел - первый вышел.

Так было до версии 3.1.0. Сейчас другой алгоритм используется.

[chimk]

Возможность выбора входов в Electrum есть. В данном случае все вообще просто - любой вход или адрес при желании морозится (во вкладке "Coins" функция Freeze), и такие входы/адреса просто никогда не будут использоваться при формировании транзакций. Эта "заморозка" сохраняется в файле кошелька. При восстановлении кошелька из мнемонической фразы всякие лейблы, описания и фризы, естественно, не восстановятся - если это важно сохранить, придется бэкапить и файл кошелька.

Кстати Электрум, (если выбирать входы не руками а предоставить все ему  на  откуп) , выбирает адреса  по принципу FIFO - первый вошел - первый вышел.

Так было до версии 3.1.0. Сейчас другой алгоритм используется.

круто. оказывается в электруме это решается просто, нужно немного внимательности. Не зря Антонопулос говорил, что технологии будут развиваться быстрее попыток регулировать. А в Трезоре, есть противоядие зловредной пыли?

[igor72]

А в Трезоре, есть противоядие зловредной пыли?

Насколько я знаю, в родном интерфейсе Трезора нет возможности управления входами. Пользуйтесь Трезором в связке с Электрумом.

[johhnyUA]

так как работаю с Армори, а там есть.

Что-то гуглил, гуглил, ничего толкового найти не могу. Мб ссылочку на гайд, или что-то в таком духе. Насчет Армори. Было бы просто отлично

https://bitcointalk.org/index.php?topic=374097.0 - вот что нашел, но здесь говорится что utxo выходами управлять нельзя, только адресами.

Edited: Разобрался, с 0.93.1 есть функция "Coin control" которая позволяет управлять инпутами, делая некоторые "locked" (с них тратиться не будет)

[Coin-1]

Насколько я знаю, "пылевые атаки" на Ethereum-адреса используются различными командами исключительно для рекламирования своих токенов. Сумма и ценность этих токенов настолько мала, что они обычно постоянно лежат на известном ETH-кошельке без движения.

В Bitcoin я не вижу особого смысла отправлять пыль из-за дороговизны транзакций. Вроде бы, на текущий момент "неэкономичной пылью" в сети считается 546 сатоши и менее. Как вариант, это способ может быть использован для "очернения" владельца какого-либо Bitcoin-адреса. Допустим, если пыль была прислана с известного BTC-кошелька, напрямую связанного с торговлей запрещёнными товарами в сети TOR, то к получателю этой пыли могут возникнуть вопросы, например, при прохождении процедуры AML на криптовалютной бирже.

[johhnyUA]

В Bitcoin я не вижу особого смысла отправлять пыль из-за дороговизны транзакций. Вроде бы, на текущий момент "неэкономичной пылью" в сети считается 546 сатоши и менее. Как вариант, это способ может быть использован для "очернения" владельца какого-либо Bitcoin-адреса. Допустим, если пыль была прислана с известного BTC-кошелька, напрямую связанного с торговлей запрещёнными товарами в сети TOR, то к получателю этой пыли могут возникнуть вопросы, например, при прохождении процедуры AML на криптовалютной бирже.

Не совсем так.
Ремарка:
Пыль - это все что ниже комиссии за перевод.
На данный момент пыль это 540-560 сатоши для легаси транзакций, и 290 для нейтив Сегвит транзакций. Но опять таки, это если мы берем в расчет "стандартную" транзакцию по типу "один вход - один выход" если транзакция нестандартная, то и пыль там может быть большего значения. К примеру если транзакция имеющие всякие lock time скрипты (чисто пример) и прочее, она "весить" будет больше, поэтому пылевыми у нее будут считаться значения побольше чем 540 сатоши.

А рассылать пыль довольно экономично. Берешь 0.5 бтц, и рассылаешь на 100 000 адресов по 500 сатоши, комиссия будет не такой уж и большой. Пересылать "пыль" дорого, а изначальная отправка всякими "pay-to-many" очень даже дешевая.

[igor72]

Не совсем так.
Ремарка:
Пыль - это все что ниже комиссии за перевод.

Чуть поправлю, с вашего позволения. Ниже трехкратного значения размера в vBytes "один вход + один выход" (для легаси 3*(148+34), для сегвит 3*(67+31) ).

[Evgenklm]

Это слишком тяжело понять для обычного пользователя, допустим биткоин кошелька, понял одно, не стоит никому показывать свои криптовалютные адреса кошельков.