Atak Dusting – dlaczego na mój portfel trafiają losowe tokeny?

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji

Atak dusting polega na masowym wysyłaniu mikroskopijnych ilości kryptowalut lub nieznanych tokenów na tysiące losowych adresów w celu śledzenia przepływu środków i deanonimizacji właściciela portfela. Losowe tokeny trafiają na twoje konto, ponieważ oszuści wykorzystują publiczny charakter sieci blockchain, aby zwabić cię do interakcji z fałszywym smart kontraktem lub powiązać twój anonimowy adres z tożsamością na scentralizowanej giełdzie.

To brutalna i wysoce skuteczna metoda wyłudzania danych. Działa na rynku od wielu lat. Sam w zeszłym miesiącu znalazłem na swoim Ledgerze kilkaset sztuk jakiegoś bezwartościowego “MinuDoge”. Zignorowałem to całkowicie, bo próba ich zamiany na zdecentralizowanej giełdzie skończyłaby się natychmiastowym wyczyszczeniem mojego głównego salda w sieci Ethereum. Wielu początkujących użytkowników daje się jednak nabrać na wizję darmowego zysku.

Czym dokładnie jest atak dusting w świecie kryptowalut?

Mechanika tego zjawiska opiera się na inżynierii społecznej i strukturze rozrachunków w sieciach takich jak Bitcoin, Litecoin czy Ethereum. Atakujący zbierają publiczne adresy z eksploratorów bloków. Następnie uruchamiają zautomatyzowany skrypt. Skrypt ten rozsiewa tak zwany “pył” (z angielskiego dust).

Pył to po prostu ułamek najmniejszej jednostki danej kryptowaluty, którego wartość rynkowa wynosi zazwyczaj mniej niż cent. W sieci Bitcoin będzie to zaledwie kilka satoshi. Koszt przeprowadzenia takiego masowego ataku jest niski, zwłaszcza na blockchainach o tanich opłatach transakcyjnych, takich jak Polygon, Solana czy Binance Smart Chain.

Hakerzy działają wielotorowo, stosując różne warianty ataku na różne grupy docelowe:

• Wysyłają miliony bezwartościowych tokenów z chwytliwą nazwą, licząc na to, że ofiara z ciekawości sprawdzi ich pochodzenie w wyszukiwarce. Ten proces wymaga przygotowania fałszywej strony internetowej przypominającej do złudzenia popularne zdecentralizowane aplikacje finansowe.
• Robią to tylko po to, by zatruć historię transakcji.
• Używają pyłu do mapowania portfeli należących do jednej osoby. Kiedy ofiara wykonuje zwykły przelew, jej portfel często automatycznie łączy małe, zalegające resztki (UTXO) z głównym saldem. To zostawia czytelny ślad kryptograficzny dla narzędzi analitycznych, pozwalając powiązać pozornie odłączone od siebie adresy.
• Szukają portfeli o wysokiej wartości (wielorybów).

Zjawisko to stało się plagą w sektorze zdecentralizowanych finansów (DeFi). Zwykły użytkownik otwiera swój portfel typu MetaMask lub Trust Wallet i nagle widzi w zakładce aktywów monety, których nigdy nie kupował. Prawda jest zresztą absolutnie taka, że większość interfejsów portfeli fatalnie radzi sobie z filtrowaniem tego spamu na poziomie wizualnym.

Skąd oszuści mają mój adres portfela krypto?

Blockchain z założenia jest całkowicie jawnym rejestrem. Każda transakcja, którą kiedykolwiek wykonałeś, zostaje zapisana na zawsze i jest widoczna dla każdego człowieka z dostępem do internetu. Boty skanujące sieć wyłapują po prostu aktywne adresy. Nie włamują się na twój komputer. Nie kradną twoich haseł.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Jeśli kiedykolwiek wysłałeś środki z giełdy na swój prywatny portfel, twój adres stał się publiczny. Maszyny analityczne non-stop analizują bloki w poszukiwaniu nowych celów. Baza danych rośnie każdego dnia.

Nie jesteś celem wybranym personalnie. Jesteś po prostu jednym z miliona rekordów w tabeli SQL na serwerze hakera z drugiego końca świata. Rzucają siecią na oślep. Liczą, że ktoś się złapie.

Jaki jest główny cel wysyłania darmowych tokenów?

Działania przestępców można podzielić na dwie zupełnie odrębne kategorie. Pierwsza dotyczy prywatności. Druga to kradzież środków w biały dzień.

Deanonimizacja użytkownika blockchaina

W sieciach opartych na modelu UTXO (Unspent Transaction Output), takich jak Bitcoin, saldo twojego portfela to w rzeczywistości zbiór wielu mniejszych “paczek” monet z poprzednich transakcji. Kiedy chcesz wysłać komuś 1 BTC, a masz w portfelu kilka mniejszych wpłat (np. 0.5 BTC, 0.3 BTC, 0.2 BTC i pył z ataku dusting o wartości 0.00001 BTC), oprogramowanie portfela automatycznie zbiera te wejścia razem, żeby sfinalizować przelew.

Hakerzy wysyłają pył na wiele adresów. Czekają. Jeśli portfel połączy ten pył z innymi środkami w jednej transakcji wychodzącej, atakujący wiedzą już na pewno, że wszystkie te adresy należą do jednej osoby. Następnie śledzą ten połączony kapitał aż do momentu, gdy trafi on na giełdę scentralizowaną (CEX), która wymaga weryfikacji tożsamości (KYC). W ten sposób powiązują kryptograficzny ciąg znaków z prawdziwym nazwiskiem, adresem domowym i numerem dowodu osobistego. Dane te mogą posłużyć do szantażu lub ukierunkowanych ataków phishingowych w prawdziwym życiu.

Phishing i fałszywe smart kontrakty

W sieciach wspierających smart kontrakty (Ethereum, Solana, Avalanche) cel jest o wiele bardziej prozaiczny. Kradzież pieniędzy z portfela.

Otrzymujesz token. Jego nazwa to często adres strony internetowej, na przykład “Claim-1000-USDC.com” albo “Visit-Airdrop-Now.net”. Wchodzisz na tę stronę z czystej ciekawości. Widzisz profesjonalnie przygotowany interfejs. Strona prosi cię o podłączenie portfela Web3 i kliknięcie przycisku “Odbierz nagrodę”.

W tym momencie podpisujesz złośliwą transakcję. Udzielasz smart kontraktowi nielimitowanego dostępu do swoich prawdziwych aktywów (funkcja approve). W ciągu kilku sekund twoje konto zostaje całkowicie opróżnione z wartościowych kryptowalut i stablecoinów. To nie błąd sieci. To po prostu twoja zgoda na wyprowadzenie środków, ukryta pod przyciskiem z napisem “Claim”.

Jak odróżnić prawdziwy airdrop od ataku dusting?

Airdropy to legalna metoda dystrybucji tokenów przez nowe projekty, mająca na celu budowanie społeczności. Atak dusting udaje airdrop. Różnice są widoczne gołym okiem, jeśli wiesz, gdzie patrzeć.

• Prawdziwy airdrop wymaga zazwyczaj wcześniejszej, celowej aktywności z twojej strony na wczesnym etapie rozwoju projektu, na przykład testowania protokołu, mostkowania środków między sieciami (bridging) lub stakowania konkretnych monet przez wiele miesięcy, co deweloperzy ogłaszają wcześniej na oficjalnych profilach w serwisie X (dawniej Twitter).
• Atak dusting pojawia się na koncie znikąd.
• Fałszywe tokeny mają wbudowany w nazwę lub symbol link URL. Żaden szanujący się projekt kryptowalutowy nie nazywa swojego tokena “Odbierz-Nagrodę-Tutaj.com”.
• Brak jakiejkolwiek płynności. Prawdziwe tokeny z airdropu mają pule płynności na giełdach zdecentralizowanych (np. Uniswap, PancakeSwap). Tokeny z dustingu często celowo blokują możliwość sprzedaży bezpośrednio w swoim kodzie źródłowym, generując błędy podczas próby wykonania swapa.

Zawsze weryfikuj adres kontraktu tokena. Wejdź na CoinMarketCap lub CoinGecko. Jeśli tokena tam nie ma, albo jego wykres wygląda jak pionowa linia w górę bez żadnych wolumenów sprzedaży, masz do czynienia z oszustwem.

Co się stanie, jeśli sprzedam tokeny z ataku dusting?

Spróbujmy przeanalizować ten najgorszy scenariusz. Widzisz na portfelu milion tokenów “ElonMarsInu”. Przechodzisz na zdecentralizowaną giełdę. Chcesz to zamienić na USDT.

Giełda prosi cię o zatwierdzenie (Approve) tokena do handlu. To standardowa procedura w standardzie ERC-20. Problem polega na tym, że kod tego konkretnego tokena został napisany przez przestępców. Kiedy klikasz “Zatwierdź” w swoim portfelu, nie autoryzujesz zwykłej wymiany. Wywołujesz złośliwą funkcję ukrytą w logice kontraktu.

Zamiast pozwolić giełdzie na pobranie “ElonMarsInu”, autoryzujesz atakującego do wyciągnięcia z twojego portfela wszystkich innych tokenów. Kod zawiera lukę lub celowy backdoor. Ty płacisz opłatę za gaz, transakcja przechodzi, a po chwili widzisz, że zniknęło twoje Ethereum. Zostałeś z bezwartościowymi tokenami z dustingu, a straciłeś główny kapitał.

Jak stwierdził niedawno analityk on-chain z firmy badawczej podczas zamkniętego panelu w Pradze: “Ludzie za bardzo panikują widząc pył. Wystarczy go zostawić w spokoju. Problem zaczyna się dopiero, gdy chciwość wygrywa i użytkownik na siłę szuka miejsca, gdzie to sprzedać. Kod nie wybacza głupoty”.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Jak zabezpieczyć portfel przed niechcianym pyłem krypto?

Nie możesz zablokować przyjmowania transakcji na publicznym blockchainie. Każdy może wysłać ci cokolwiek, w dowolnym momencie. Możesz jednak zarządzać tym, co widzisz i jak z tym wchodzisz w interakcję.

Przede wszystkim ukryj te tokeny w interfejsie. Większość dobrych portfeli (Exodus, Trust Wallet, MetaMask) posiada opcję “Ukryj małe salda” lub możliwość ręcznego usunięcia niechcianego tokena z widoku głównego ekranu. Czego nie widzisz, z tym nie próbujesz handlować. To rozwiązuje większość problemów na poziomie psychologii użytkownika.

Chociaż prawdę mówiąc brakuje nam twardych danych za wczoraj, więc wydaje się to tylko jedną z możliwych hipotez na ten kwartał: bardzo często interfejsy gubią ustawienia ukrywania po aktualizacji aplikacji na telefonie. (Zastanawiacie się zresztą, dlaczego to na produkcji tak wyje na testach po drodze? Sam się nad tym borykałem dzisiaj u siebie we wtorek, gdy po update Ledger Live znowu wypluł mi na ekran główny 50 scam-tokenów sprzed dwóch lat. Trzeba to klikać od nowa).

W przypadku sieci Bitcoin, używaj portfeli z funkcją “Coin Control” (Kontrola Monet). Portfele takie jak Electrum, Sparrow czy Wasabi pozwalają na ręczne wybranie, które konkretnie UTXO chcesz wydać podczas wysyłania transakcji. Jeśli widzisz pył z ataku, po prostu odznacz go na liście. Zostanie na zawsze na twoim adresie, nigdy nie łącząc się z twoim głównym kapitałem. Atakujący nie zdobędą żadnych danych analitycznych o twoim zachowaniu finansowym.

Czy giełdy kryptowalut chronią przed dustingiem?

Jeśli trzymasz środki na dużej giełdzie scentralizowanej (CEX) jak Binance, Kraken czy Coinbase, atak dusting w ogóle cię nie dotyczy w bezpośredni sposób.

Giełdy trzymają środki milionów użytkowników na wspólnych portfelach zbiorczych (omnibus wallets). Kiedy logujesz się na konto, widzisz tylko zapis w wewnętrznej bazie danych giełdy, a nie bezpośredni odczyt z blockchaina. Platformy te mają zautomatyzowane systemy filtrujące, które automatycznie ignorują śmieciowe tokeny wpadające na ich adresy depozytowe. Użytkownik końcowy nawet nie wie, że taki atak miał miejsce.

Zagrożenie pojawia się wyłącznie wtedy, gdy bierzesz pełną odpowiedzialność za swoje klucze prywatne w sektorze Web3 i DeFi. Tam nie ma działu obsługi klienta, który cofnie złośliwą transakcję. Jesteś swoim własnym bankiem i własnym systemem bezpieczeństwa.

Przestań obsesyjnie sprawdzać zakładkę z ukrytymi tokenami na BscScan czy Etherscan. Znalazłeś tam dziwne monety o wartości miliardów dolarów? Zignoruj je. To przynęta. Zaloguj się teraz na swój portfel sprzętowy, włącz funkcję ukrywania pyłowych sald, i zajmij się prawdziwym inwestowaniem. Jeśli spróbujesz to sprzedać, oddasz hakerom dostęp do swoich własnych pieniędzy.

Najczęściej zadawane pytania (FAQ)

• Co to jest atak dusting?
  Atak dusting to masowe wysyłanie mikroskopijnych ilości kryptowalut lub nieznanych tokenów na tysiące adresów w celu deanonimizacji użytkowników lub sprowokowania ich do interakcji ze złośliwymi smart kontraktami.
• Skąd hakerzy znają mój adres portfela?
  Adresy w sieci blockchain są publiczne. Każdy może je pobrać z eksploratorów bloków (np. Etherscan) i wysłać na nie tokeny za pomocą zautomatyzowanych skryptów.
• Czy mogę usunąć niechciane tokeny z portfela?
  Nie da się usunąć tokenów z blockchaina. Możesz jedynie ukryć ich widoczność w ustawieniach interfejsu swojego portfela (np. w MetaMask lub Trust Wallet).
• Czy sprzedaż darmowych tokenów z dustingu jest bezpieczna?
  Absolutnie nie. Próba sprzedaży takich tokenów na zdecentralizowanej giełdzie wymaga zatwierdzenia złośliwego smart kontraktu, co doprowadzi do kradzieży twoich głównych środków (np. ETH lub USDT).
• Czy giełdy Binance i Kraken są podatne na dusting?
  Scentralizowane giełdy chronią użytkowników, filtrując spam na poziomie własnych baz danych. Problem dotyczy głównie portfeli prywatnych (self-custody).
• Jak chronić prywatność w sieci Bitcoin przed dustingiem?
  Używaj portfeli z funkcją Coin Control (np. Electrum), która pozwala ręcznie wybierać przesyłane monety (UTXO) i ignorować pył wysłany przez atakujących.

Bibliografia

1. Binance Academy – https://academy.binance.com
2. Ledger Academy – https://www.ledger.com
3. Trezor Knowledge Base – https://trezor.io
4. Kaspersky Securelist – https://securelist.com
5. Chainalysis Blog – https://www.chainalysis.com

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji