Dusting attack: микротранзакции для деанонимизации и как защититься от слежки по цепочке

Злоумышленник рассылает минимальные суммы (в Bitcoin — ниже порога dust limit, в EVM-сетях — токены с нулевой или символической ценностью) на большое число адресов. Затем с помощью блокчейн-аналитики (Chainalysis, TRM Labs и аналогов) отслеживается движение этих «пылинок». Когда жертва консолидирует UTXO или отправляет транзакцию, включающую пыль, аналитик видит связь между несколькими адресами. Это позволяет кластеризовать адреса одного кошелька, а при наличии хотя бы одного идентифицированного адреса (например, биржевого) — деанонимизировать всю цепочку.

Атаки проводят несколько категорий участников: блокчейн-аналитические компании (для изучения структуры рынка и выявления незаконной деятельности); налоговые и правоохранительные органы разных стран (для идентификации владельцев адресов); мошенники (для профилирования состоятельных кошельков перед целевым фишингом или социальной инженерией); конкуренты или враждебные участники рынка. В РФ налоговые органы и Росфинмониторинг взаимодействуют с международными блокчейн-аналитическими сервисами — публичные транзакции доступны для анализа любому участнику.

Признаки потенциальной пыли: сумма значительно ниже стоимости gas для её перемещения (экономически нецелесообразная транзакция); отправитель — адрес, с которым вы никогда не взаимодействовали; в EVM-сетях — токен с нулевой или неизвестной рыночной стоимостью; транзакция пришла одновременно на множество адресов (видно через анализ блока в Etherscan). Само по себе получение пыли не несёт прямого финансового ущерба. Риск возникает в момент, когда вы тратите или перемещаете средства, включая пыль в транзакцию.

UTXO (Unspent Transaction Output) — модель учёта средств в Bitcoin: каждая входящая транзакция создаёт отдельный «кусочек» баланса. При отправке биткоина кошелёк автоматически комбинирует несколько UTXO для набора нужной суммы. Если среди них окажется «пылевой» UTXO — все задействованные адреса окажутся связаны в одной транзакции и становятся видны как принадлежащие одному владельцу. EVM-кошельки (Ethereum и совместимые) используют балансовую модель, а не UTXO, поэтому механика атаки там несколько иная, но связывание адресов через отслеживание токен-перемещений также возможно.

Публичность блокчейна означает, что все транзакции доступны для анализа. Если dusting-атака позволяет связать несколько ваших адресов и хотя бы один из них идентифицирован (например, через биржу, прошедшую KYC), — налоговые органы потенциально могут восстановить более полную картину ваших активов и операций. В РФ доходы от операций с криптовалютой облагаются НДФЛ 13–15%, и обязанность их декларировать лежит на налогоплательщике. Деанонимизация через блокчейн-аналитику — реальный инструмент контроля, а не гипотетическая угроза.

Прямые риски после успешной деанонимизации: целевой фишинг — мошенники знают, что кошелёк содержит значимые средства, и выстраивают персонализированные атаки; социальная инженерия через DM в Telegram или Discord; в экстремальных случаях — физические угрозы (так называемый «$5 wrench attack»). Косвенные риски: налоговые претензии при выявлении незадекларированных доходов; репутационные риски при публичном раскрытии кошелька. Дополнительно: потеря приватных ключей и риск смарт-контракта остаются актуальными независимо от факта dusting.

Отправка транзакции в публичный блокчейн сама по себе не является незаконной. Однако использование полученной информации для мошенничества, вымогательства или уклонения от уплаты налогов влечёт уголовную ответственность по соответствующим статьям УК РФ. Проведение dusting с целью деанонимизации для последующей атаки квалифицируется как подготовка к преступлению.