Dusting Attack: расследование незаметной атаки на кошельки, OSINT-паттерны и защита

Представьте: вы открываете свой кошелёк и видите странный перевод — несколько тысячных долей токена, которые вы точно не покупали.

Смешная сумма:
0.0000004 LTC
или
0.0003 BNB
или
10 штук какого-то неизвестного токена.

Вы думаете:
«Может, спам?»
«Вероятно, ошибка?»
«Какая разница — это же копейки…»

Но эти копейки — как пыль, которую преступник оставляет на месте преступления.
Пыль, которая позволяет отследить ваше поведение, ваши кошельки, ваши активы и связать все ваши адреса между собой.

Это — Dusting Attack.
Один из самых недооценённых методов крипто-шпионажа, который используют:

• мошенники
• аналитики теневых групп
• хакеры
• вымогатели
• «чёрные» трейдеры
• спецслужбы разных стран

И сегодня мы проведём расследование в стиле Netflix Crime, показывая, как маленькая частица токена может разрушить анонимность целого кошелька.

Краткое описание инцидента

В 2025 году Dusting Attack снова стали массовыми.
Особенно после того, как биржи ужесточили KYC, а преступники стали искать новые способы отслеживания жертв.

Мы разберём кейс “DustWave-25” —
атака, во время которой злоумышленники отправили «пыль» на 43 000 кошельков, чтобы выявить:

• адреса с крупными активами,
• связь между ними,
• владельцев, которых потом можно было бы атаковать drain-атаками, фишингом или blackmail.

Это расследование показывает: dusting — не про деньги. Это про слежку.

Как всё началось — первый шаг преступников

Преступники начали с простого:

1. Создали тонны мелких транзакций

По 0.000001 BNB, 0.00002 LTC, 1 GHO, 5 SHIB и т.д.

2. Разослали их на тысячи адресов

Список адресов собирается:

• с NFT-маркетплейсов
• из DeFi-транзакций
• через анализ активности on-chain
• через Telegram-ботов

3. Добавили метку (“tag”) в Memo

Иногда в Memo были:

• ссылки,
• фразы,
• encoded-данные,
• номера каналов в Telegram.

Это создаёт иллюзию «airdrop’а» или «промоакции».

Но Dusting Attack — это не подарок.
Это цифровая разведка.

Как схема развивалась — второй шаг: отслеживание транзакций

Когда жертва получает dust-токены, преступники смотрят, что будет дальше.

Они анализируют:

• выводы с кошелька
• объединение средств
• перемещение токенов
• попытки продать dust
• связанные адреса

Почему это важно?

Если пользователь перемешивает пыль с другими средствами — это раскрывает его финансовую карту.

Как только пользователь отправляет транзакцию, dust становится частью входов/выходов. А это даёт преступникам возможность связать адреса между собой.

Блокчейн-трейсинг: как работает Dusting Attack

Ниже — реконструкция реальной схемы (адреса условные):

Шаг 1 — пыль отправлена

Dust-транзакция:
0xF1a...55b1 → 0xA11...88de

Сумма:
0.00000124 BNB

По данным BscScan видно:

• отправитель — новый адрес
• нет истории
• нет смарт-контракта
• 3 400 подобных транзакций в тот же день

Красный флаг: массовые микропереводы с одного адреса.

Шаг 2 — жертва делает обычную транзакцию

0xA11...88de → 0xC41...99b2

Система UTXO/баланс показывает, что dust попал в общую сумму входов.

Цепочка транзакций показывает, что теперь хакер знает:

• какие адреса связаны
• какие биржи использует жертва
• в какой сети работает
• активность по времени суток
• объёмы перемещений

Шаг 3 — преступник определяет крупные кошельки

После анализа 300–500 транзакций, злоумышленник выявляет:

• кошельки с крупными активами
• поведенческие паттерны
• “входы” и “выходы”
• точки уязвимости

Это похоже на охоту.
Dust — как метка, оставленная на шее жертвы.

Шаг 4 — запуск второй фазы атаки

После успешного dusting преступники:

• присылают фишинговые ссылки
• создают “claim airdrop” схемы
• подделывают токены
• делают drain-атаки
• имитируют “поддержку” известных проектов

Dusting Attack — это пролог к более серьёзной атаке.

Кто стоит за такими атаками — OSINT-версии

Версия №1 — группировки, занимающиеся blackmail

Они используют dusting, чтобы связать адреса людей, которые много хранят на холодных кошельках.

Версия №2 — банды drain-атак

Dust помогает им определить, кого атаковать drain-ботами.

Версия №3 — скамерские маркетинговые «компании»

Они отправляют dust как приманку для фейковых airdrop-сайтов.

Версия №4 — государственные структуры (да!)

Некоторые Dust Attack совпадают по паттернам с операциями разведок,
которые используют dust для deanonymization.

Психология жертв — почему люди попадаются

1. “Это просто копейки”

Но пыль — это не деньги. Это инструмент слежки.

2. “Ну пусть лежит”

Пассивность — лучший друг преступника.

3. “А вдруг это airdrop?”

Особенно в эпоху Starknet, LayerZero, ZKSync и т.д.

4. “Если отправили на мой кошелёк — значит безопасно”

Наоборот: если отправили на ваш кошелёк —
значит, вас проверяют.

Последствия Dusting Attack

Хотя Dusting не ворует деньги напрямую, последствия колоссальны:

• раскрытие связи между вашими адресами
• deanonymization кошельков
• увеличение риска targeted phishing
• drain-атаки на основании профиля
• сбор информации для шантажа
• анализ вашей торговой стратегии
• отслеживание ваших биржевых операций

Dusting — это не «ерунда». Это интеллектуальная подготовка к ограблению.

Как защититься — практический чеклист

🔥 КРАСНЫЕ ФЛАГИ DUSTING ATTACK

• маленькие непонятные переводы
• MEMO со ссылкой
• токены без ликвидности
• токены с подозрительными названиями
• массовая рассылка одинаковых сумм

Как защититься

✔ Игнорировать dust

Никогда не пытайтесь:

• отправлять его обратно
• продавать
• конвертировать
• клеймить
• подключать к сайтам

✔ Фильтровать токены

Многие кошельки позволяют скрывать dust-токены.

✔ Использовать отдельный кошелёк для DeFi/airdrop-активности

Пусть dust остаётся в «грязном» кошельке.

✔ Проверять токены через сервисы

• TokenSniffer
• GoPlus
• ScamSniffer

✔ Никогда не переходить по ссылкам из MEMO

✔ Не объединять кошельки

Не делайте транзакций, которые связывают ваш холодный и горячий адрес.

Вывод — главный урок Dusting Attack

Dusting Attack — это не про деньги. Это про метки, анализ, разведку.

Это цифровой след, который преступник оставляет на вас, чтобы понять, когда и как вас атаковать.

Главный вывод:

Если вам прислали пыль — это не подарок. Это предупреждение. Кто-то наблюдает за вами.

И ваша задача — не дать ему связать вашу историю, ваш капитал и ваши действия.

CTA — следующее расследование уже в работе

Хочешь продолжение?

Доступны следующие статьи:

👉 NFT Marketplace Exploit — как крадут коллекции с OpenSea и Blur
👉 Telegram Bot Drainers — новая эра Web3-взломов
👉 Social Engineering в крипте — как психологически ломают экспертов
👉 Exchange Hack — как взламывают биржи

Также могу сделать индивидуальную проверку твоего кошелька на dusting, трекинг, approve и уязвимости.