Журнал "Information Security/ Информационная безопасность" #5, 2025

При обнаружении мелкой незапрошенной транзакции лучше не тратить эти сред- ства и не включать их в обычные платежи. Из-за прозрачности блок- чейна и возможности прово- дить микротранзакции зло- умышленники могут анали- зировать поведение вла- дельцев кошельков и использовать это для мошенничества. Анализ транзакции показал, что в истории его операций появил- ся пылевой перевод с адреса- имитатора. Жертва не заметила подмены и скопировала этот адрес для нового перевода. Реальный и пылевой адреса начинались с одинаковой после- довательности символов и заканчивались схожим фрагмен- том – это использовалось как визуальный ориентир при ручной проверке. Однако различия были в средней части, где отли- чающиеся символы легко упу- стить из виду при беглом про- смотре. Именно на такую невни- мательность и был сделан рас- чет злоумышленника. Другой инцидент, получивший широкую огласку, произошел в мае 2024 г. Тогда в результате атаки пользователь отправил 1155,28 WBTC (около $70 млн) на подставной адрес. На сле- дующий день создатель токена публично подтвердил, что именно он инициировал перевод средств на подставной адрес, опублико- вав соответствующее заявление в своей социальной сети. Ошибки, которые приводят к атаке 1. Тратить полученную "пыль". "Пыль" сама по себе ничего не крадет, но при расходе есть риск объединения входов, через которые злоумышленник смо- жет отследить ваши адреса. Поэтому при обнаружении мел- кой незапрошенной транзакции лучше не тратить эти средства и не включать их в обычные платежи. 2. Повторно использовать одни и те же адреса. Если вы постоянно отправляете и полу- чаете средства на одном и том же адресе, все операции легче связать в единую историю. Генерация новых адресов для каждой операции снижает кор- реляцию и усложняет сбор карты ваших адресов. 3. Копировать и использовать адреса без внимательной про- верки. Крупный перевод уходит не тому получателю, так как адрес выглядит очень похожим на привычный. В результате средства теряются безвозвратно. 4. Публичные привязки адреса к личности. Любая публичная операция, где адрес можно свя- зать с реальным пользователем, упрощает задачу злоумышлен- никам. Достаточно одной такой привязки, чтобы сопоставить остальные данные в группе и деанонимизировать владельца. Пользователь нередко сам, из- за невнимательности или отсут- ствия опыта, невольно способ- ствует собственной деаноними- зации. Даже единичные действия – такие как трата "пыли" или перевод на KYC-биржу – могут позволить злоумышленникам связать несколько адресов и выстроить полную картину актив- ности, что в перспективе может привести к необратимым послед- ствиям. В условиях полной про- зрачности блокчейна приват- ность без дополнительных мер остается скорее иллюзией. Существуют инструменты, которые позволяют выявлять пылевые транзакции: 1. Инструменты уровня сети. В некоторых блокчейн-сетях действует лимит "пыли" – мини- мальный порог суммы транзак- ции, ниже которого операции считаются экономически невы- годными и не обрабатываются. В сети Биткоин, например, этот порог установлен на уровне 546 сатоши. Такие меры снижают общий объем спама и делают атаки более затратными. 2. Кошельки и биржи. Многие популярные кошельки и крип- тобиржи используют автома- тические алгоритмы для обна- ружения подозрительно мелких входящих переводов. В зави- симости от настроек они могут блокировать пылевые транзак- ции, скрывать их из пользова- тельского интерфейса или кон- солидировать мелкие суммы при кастодиальном хранении (когда кошелек или биржа хра- нят средства и управляют ключами вместо пользовате- ля). 3. Оповещения и пользова- тельские настройки. Некоторые кошельки поддерживают функ- ции оповещения: при поступле- нии подозрительно мелкой суммы пользователь получает уведомление и может отметить ее как нежелательную для даль- нейших операций. В ряде кошельков также реализована возможность вручную управ- лять входами – выбирать, какие из них использовать при отправ- ке средств, что снижает веро- ятность связывания адресов между собой. 4. Аналитические решения. Криптоаналитические платфор- мы помогают выявлять связи между адресами и отслеживать пылевые атаки в рамках более широких сценариев: от простого мониторинга до полноценной оценки рисков. В заключение Угрозы в сфере криптовалют требуют не только технологий, но и внимательности со стороны пользователя. Из-за прозрач- ности блокчейна и возможности проводить микротранзакции злоумышленники могут анали- зировать поведение владельцев кошельков и использовать это для мошенничества. Поэтому важно не просто полагаться на инструменты защиты, а пони- мать, какие риски несет каждая операция. Надежная защита цифро- вых активов складывается из двух составляющих – проду- манной технической экосисте- мы и ответственного отношения пользователя. Когда эти эле- менты работают вместе, риск потери средств сводится к мини- муму, а безопасность инвести- ций становится устойчивой и долгосрочной. Для специалистов по финан- совому мониторингу пылевые атаки – это не просто вопрос защиты отдельных пользовате- лей. Сами по себе они остаются вредоносной активностью, но их цифровые следы помогают системам AML/KYT распозна- вать подозрительные схемы. Анализ микротранзакций поз- воляет выявлять связанные между собой адреса, отслежи- вать цепочки отмывания средств и находить финансовые потоки, замаскированные под обычный шум блокчейна. В этом смысле борьба с пылевыми атаками становится частью более широ- кой стратегии укрепления про- зрачности, отслеживаемости и устойчивости криптовалютной экосистемы. l • 69 КРИПТОГРАФИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru