Как одна ошибка обошлась инвестору в $129 млн
Одна из самых коварных мошеннических схем — криптопылевая атака (crypto dusting attack). За 2024 год через эту схему было украдено более $2 млрд. При этом жертва часто даже не понимает, что стала частью атаки — пока не теряет всё.
Что такое «пыль» и почему она опасна?
Криптопыль — маленькая сумма, которая была отправлена на криптокошелек. Ее функции не всегда имеют криминальный характер и часто это один из способов рекламы, когда в транзакции хранится некое сообщение об акциях, скидках и так далее
Злоупотребление, которое нашли мошенники в раздаче «пыли».
Они используют ее не для того, чтобы украсть деньги напрямую. Цель — подготовить фишинговую ловушку. И делается это с математической точностью.
Как устроена пылевая атака
Этап 1. Посев «пыли» — тихое проникновение
① Преступники выбирают потенциальную жертву с большим капиталом;
② Начинают спамить «пылью» его кошелек;
③ Человек либо не обращает на мелкие транзакции внимания, либо случайно переходит по ссылке и теряет доступ к кошельку.
Каждая такая транзакция — как некий локатор для преступников в блокчейне. Даже если вы не знаете о ее существовании, она может быть уже давно на вашем балансе. А значит, злоумышленник может начать связывать ваши адреса в единую сеть.
Этап 2. Анализ поведения — разведка в действии
С помощью аналитических инструментов злоумышленник отслеживает:
- С какими адресами вы чаще всего взаимодействуете (ваши контрагенты);
- Как часто вы переводите средства;
- Есть ли у вас холодные кошельки, биржевые аккаунты, DeFi-протоколы.
Всё это — цифровой след, который можно использовать против вас.
Этап 3. Фишинг через подмену адреса — как потерять $129 млн. за один клик
13 ноября 2024 года пользователь криптокошелька TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE отправил $129 млн, скопировав адрес из истории выводов. Но адрес оказался классическим мошенничеством с подменой.
Потерпевший отправил криптовалюту на адрес TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8,
после чего ему поступила транзакция с адреса THcTxQi3N8wQ13fwntF7a3M88BEi6q1bu8,
несколькими символами похожего на ранее использованный.
Впоследствии пользователь для отправки крупной суммы скопировал из истории выводов не тот криптокошелек и $129 млн по ошибке попали незнакомому контрагенту. Можно предположить, что это было умышленная фишинг-атака, однако потерпевший получил возврат криптовалюты на свой кошелек в течении дня после ошибки.
➯ Ошибкочная транзакция
Изначально, владелец адреса TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE отправил 100 USDT на нужный адрес, после чего в течение минуты получил транзакцию на 1.01 usdt с похожего адреса. Далее вывод уже был произведен на криптовалютный кошелек злоумышленников.
В визуализации видно, что последние символы верного адреса и адреса, отправившего пыль похожи.
➯ Возврат средств
Спустя время злоумышленник перевел полученную криптовалюту на другой адрес и произвел два вывода для возврата криптовалюты обратно. Все транзакции были произведены в течение дня.
➯ Мишень пылевых атак:
На первый взгляд ситуация не похожа на мошенничество, а схожесть адресов выглядит как совпадение. Но если обратить внимание на другие транзакции потерпевшего, можно заметить, что пылевые транзакции поступали ему неоднократно.
То есть владелец отмеченного адреса выводил криптовалюту и после этого тут же получал небольшую транзакцию с крипто кошелька, похожего на верный.
Кто стоит за пылевыми атаками?
За «пылевыми» атаками часто стоят:
- Киберпреступные синдикаты, специализирующиеся на фишинге;
- Аутсорс-провайдеры, продающие «услуги дастинга» как SaaS;
- Конкуренты или хакеры, желающие скомпрометировать проект или личность.
Существуют даже сервисы по генерации фейковых адресов, которые частично копируют начало и конец реального адреса контрагента — идеально для подмены
Как защититься: 5 правил безопасности
1. Не игнорируйте «пыль»
Если получили микросумму — не открывайте вложенные сообщения, не переходите по ссылкам. Пометьте транзакцию как подозрительную (если кошелёк поддерживает).
❌ Никогда не отправляйте «пыль» обратно. Это может раскрыть дополнительные адреса вашей сети.
2. Никогда не копируйте адреса из истории
Всегда вводите адрес вручную или используйте QR-код. Или — лучше — используйте проверку через AML-инструменты.
3. Используйте кошельки с защитой от «пыли»
Некоторые кошельки позволяют:
- Скрывать «пылевые» транзакции;
- Автоматически фильтровать подозрительные входы;
- Отключать отображение сообщений в транзакциях.
4. Включите мультиподпись и 2FA
Холодные кошельки с мультиподписью (multisig) — барьер для быстрых переводов. Даже если вы ошиблись — подтверждение с второго устройства остановит транзакцию.
5. Проверяйте контрагентов через AML-системы
Прежде чем отправить или принять средства — проверьте адрес на чистоту. Современные решения, такие как КоинКит, анализируют мошеннические связи подозрительного контрагента, покажут общую картину его операций и отследят движение криптовалюты от начальной до конечной точки.
Итог
С ростом ликвидности крипторынка фишинг-индустрия демонстрирует резкий скачок, а бдительность пользователей часто снижается. Чтобы не стать жертвой подобных схем необходимо обращать внимание на небольшие суммы, полученные с неизвестных адресов, а также сверять все символы адреса на который производится вывод средств.
А еще проверять чистоту адресов, транзакций и кошельков через AML-сервис КоинКит. Наша команда все покажет и расскажет, а также научит правильно считывать результаты проверки.
Ваши эксперты в анализе рисков криптовалютных операций,
Команда КоинКит