Журнал "Information Security/ Информационная безопасность" #5, 2025

Для компаний, ведущих AML-анализ, "пыль" стано- вится своеобразным марке- ром, по которому можно отследить не только саму атаку, но и инфраструктуру, стоящую за ней. Если кошелек давно не использовался, но вдруг получает микроперевод, или если сумма не соответству- ет ни одной операции в истории, стоит насторожить- ся. Как злоумышленники используют пылевые атаки Пылевые атаки (Dust Attacks) – это вид вредоносной актив- ности в криптовалюте, при кото- ром киберпреступник отправ- ляет на кошелек жертвы небольшую сумму токенов и использует эту транзакцию для более крупного мошенничества или деанонимизации пользова- теля. Обычно такие атаки направлены на кражу средств и нанесение ущерба. Изначаль- но они появились в сети Бит- коин, но сейчас распростра- няются и в других крупных блок- чейн-сетях, таких как Ethereum, Tron и Solana. Существуют две основные модели пылевых атак. Классическая модель – UTXO (Unspent Transaction Output, неизрасходованный выход тран- закции). Это многоступенчатая схема, при которой злоумыш- ленник с помощью рассылки "пыли" помечает отдельные UTXO на множестве адресов и затем наблюдает за их актив- ностью. Когда владелец тратит средства, кошелек чаще всего объединяет несколько UTXO в одну транзакцию. Если среди них есть помеченный вход, ста- новится видно, какие адреса принадлежат одному пользова- телю. После того как преступник связал несколько адресов, он дополняет информацию про- стыми проверками: сверяет дан- ные в интернете и отслеживает переводы на биржи. Это помо- гает собрать карту адресов одного владельца. Достаточно связать хотя бы один из адресов с реальным человеком или ком- панией, например через пере- вод на KYC-биржу, пожертво- вание или покупку, чтобы иден- тифицировать и остальные адреса из группы. Еще одна модель для EVM- сетей – визуальный фишинг. В EVM-сетях пылевые атаки эво- люционировали: помимо пассив- ного отслеживания появилась активная эксплуатация челове- ческой ошибки. Мошенники рас- сылают микропереводы с адре- сов, визуально похожих на при- вычных контрагентов. Жертва замечает знакомую последова- тельность, копирует адрес и при следующем крупном переводе по невнимательности отправляет средства мошеннику. Пылевые переводы служат лишь средством для сбора информации и доступа. Главная цель киберпреступников – выследить деньги и привести пользователя к тому, что он по ошибке отправит значительную сумму на мошеннический адрес. Как распознать пылевую атаку? Пылевая атака редко выгля- дит как что-то подозрительное. На экране пользователя – всего лишь мелкий входящий перевод, на первый взгляд бессмыслен- ный и безопасный. Иногда это несколько центов в эквиваленте, иногда – токен неизвестного проекта, присланный без объ- яснений. И именно эта баналь- ность делает атаку такой опас- ной: она не вызывает тревоги. Первый тревожный сигнал – источник перевода. В большин- стве случаев микротранзакция поступает с незнакомого адреса, который не связан с вашими пре- дыдущими операциями. При вни- мательном рассмотрении можно заметить закономерности: схожие названия токенов, одинаковые метки времени, идентичные шаб- лоны комментариев. Это типич- ный признак автоматизированной рассылки – именно так злоумыш- ленники "пылят" по сотням или тысячам адресов, чтобы отобрать активные кошельки. Второй уровень распознава- ния – анализ контекста. В нор- мальной пользовательской прак- тике микротранзакции почти не встречаются: ни биржи, ни DeFi- платформы, ни NFT-маркеты не отправляют мелкие суммы без причины. Если такая операция появилась без вашего участия – скорее всего, это попытка уста- новить связь между адресами. Особенно настораживает, когда после пылевого перевода на кошелек начинают приходить фишинговые токены с похожими названиями или подозрительные сообщения о якобы возврате средств. Со стороны аналитиков KYT (Know Your Transaction) такие атаки видны иначе. Их можно распознать по типовым паттер- нам: массовым исходящим опе- рациям на тысячи адресов, оди- наковым суммам, минимальным комиссиям и единообразным временным промежуткам. Алго- ритмы помечают такие цепочки как аномальные микрораспы- ления и отслеживают, как эти адреса ведут себя дальше. Для компаний, ведущих AML-ана- лиз, "пыль" становится свое- образным маркером, по кото- рому можно отследить не толь- ко саму атаку, но и инфра- структуру, стоящую за ней. Для обычных пользователей лучший способ распознать пылевую атаку – наблюдать за аномалиями. Если кошелек давно не использовался, но вдруг получает микроперевод, или если сумма не соответству- ет ни одной операции в истории, стоит насторожиться. Разбор реальных случаев ущерба Один из случаев произошел 31 марта 2025 г. Пользователь перевел около $510 тыс. на адрес, который внешне был похож на ранее используемый. 68 • ТЕХНОЛОГИИ Пылевые атаки: как одна микротранзакция ворует миллионы России на фоне новостей о внедрении блокчейн-технологий в финансовый сектор, запус- ке цифрового рубля и росте стоимости криптовалют усиливается интерес мошенников к различным обманным схемам. Самая незаметная, но опасная из них – пылевая атака: микротранзакция, которая позволяет преступнику связать адреса, вычислить объем средств и даже заставить вас отправить деньги не тому получателю. В Федор Иванов, директор по аналитике AML/KYT провайдера “Шард”