هجمات الغبار: كيف يتم كشف هوية محافظ العملات الرقمية؟

هذا غوص عميق في واحدة من أكثر تقنيات التحليل الجنائي للعملات المشفرة دهاءً. هجوم الغبار ليس اختراقًا بالمعنى التقليدي، بل هو هندسة اجتماعية على مستوى البلوكشين، حيث تُستخدم المعاملات الصغيرة بدلًا من رسائل التصيد الاحتيالي.

هجوم الغبار: آلية "العلامة الرقمية"

هجوم الغبار هو إرسال كميات ضئيلة جدًا من العملة المشفرة (تسمى "الغبار") إلى آلاف العناوين العامة. يُقصد بالغبار المبلغ الأقل من رسوم المعاملة اللازمة لتحويله، على سبيل المثال 1–500 ساتوشي.

لماذا تحتاج الأجهزة الاستخباراتية وChainalysis إلى ذلك؟

الهدف الرئيسي هو إزالة إخفاء الهوية. تعمل شبكات البلوكشين مثل Bitcoin وLitecoin وDogecoin بنموذج UTXO (Unspent Transaction Output). عندما ترسل معاملة، تجمع محفظتك "الباقي" وعدة مدخلات صغيرة في معاملة واحدة.

إذا استخدمت الغبار المستلم عن طريق الخطأ في دفعتك التالية، سيربط برنامج التحليل (مثل Crystal أو Elliptic) جميع عناوينك على الفور في مجموعة واحدة.

تشريح الهجوم: من المعاملة إلى بوابة الفيات

• البذر (Seeding): يرسل المهاجم (صندوق أو جهة حكومية) 100 ساتوشي إلى 10,000 عنوان تم العثور عليها على البلوكشين.
• الانتظار (Waiting): يرى المستخدم "هدية" في محفظته. معظم المستخدمين المبتدئين يتجاهلون رصيد +$0.01.
• الربط (Linking): تقرر سحب 1 BTC إلى بورصة. تقوم محفظتك تلقائيًا بجمع 0.99 BTC الخاصة بك و100 ساتوشي من "الغبار" لتغطية المبلغ أو الرسوم.
• تحديد الهوية (Doxxing): بمجرد أن يختلط الغبار بأموالك الرئيسية، يرى المحلل: "العناوين A وB وC تخص نفس الشخص". إذا تفاعل أي من هذه العناوين مع بورصة تتطلب KYC، ففقدت هويتك المجهولة.

التحليل العملي: كيف يظهر هذا في الكود

إذا كنت مطورًا أو تستخدم أدوات سطر الأوامر، يمكنك اكتشاف الغبار من خلال تحليل UTXO الخاص بك. إليك مثال على كيفية تصفية المعاملات المشبوهة برمجيًا (باستخدام Python/Web3).

Python

# مثال على منطق تصفية المدخلات المشبوهة (UTXO)
MIN_SAFE_THRESHOLD = 546  # حد الغبار لبيتكوين
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"تحذير! تم العثور على UTXO مشبوه: {tx['txid']} - {tx['value']} ساتوشي")
    return safe_utxos

حقيقة غير معروفة: "الغبار الذكي" والعقود الذكية

في شبكات مثل Ethereum (ERC-20)، تطورت هذه الهجمات. قد تتلقى رمزًا "مجانيًا" (مثل Fake_USDT). في وصف الرمز أو في الكود يوجد رابط URL. عند محاولة تبادل هذا الرمز على DEX، قد يطلب العقد الذكي الموافقة (Approve)، مما يمنح المهاجم وصولًا إلى أصولك الحقيقية، أو فقط يسجل عنوان IP الخاص بك عند النقر على الرابط من بيانات الرمز.

استراتيجيات الحماية: كيفية عدم وضع علامة عليك

1. Coin Control (السلاح الرئيسي)

استخدم محافظ مع ميزة Coin Control (Bitcoin Core، Electrum، Samourai، Sparrow).

ما يجب فعله: حدد المعاملة المشبوهة في قائمة UTXO، انقر بزر الماوس الأيمن واختر "Freeze" أو "Do not spend". لن تلمس محفظتك هذا الغبار أبدًا.

2. استخدام الخلاطات وCoinJoin

تقنيات مثل Whirlpool (Samourai) أو WabiSabi (Wasabi) تقسم أموالك إلى أجزاء صغيرة وتمزجها مع مشاركين آخرين، مما يجعل هجوم الغبار عديم الفائدة، حيث يتم قطع الروابط بين المدخلات عمدًا.

3. تدوير العناوين

لا تستخدم نفس العنوان مرتين. المحافظ HD الحديثة تقوم بذلك تلقائيًا، لكن تذكر: إذا جمعت كل العناوين في معاملة واحدة، فلن تحميك بنية HD.

هجوم الغبار كأداة لـ "الصناديق"

يستخدم اللاعبون المؤسسيون الكبار الغبار ليس لسرقة الأموال، بل لمراقبة المنافسين.

السيناريو: يقوم الصندوق "A" بوضع علامة على محافظ حوت كبير. بمجرد أن يقوم الحوت بتحريك الأموال (بما في ذلك الغبار)، يتلقى الصندوق إشارة عن احتمال جني الأرباح أو انهيار السوق، مما يسمح له بالدخول في الصفقة مبكرًا (front-running).

إذا كان الجزء الأول قد تناول الأساسيات، فهنا سنتعمّق في التحليل المتقدم والأساليب التي يستخدمها المحترفون للدفاع والهجوم.

إخفاء الهوية المتقدم: أسلوب «تسميم العنوان» (Address Poisoning)

هذه نسخة حديثة وخطيرة للغاية من هجوم الغبار (Dusting)، وهي شائعة في شبكات Ethereum ‏(EVM) وTRON وPolygon.

آلية الهجوم:

• إنشاء عنوان مشابه: يقوم المخترق أو المحلل بإنشاء عنوان تتطابق فيه أول 4–6 وأخر 4–6 رموز مع عنوان جهة تتعامل معها بشكل متكرر (مثل محفظة منصة تداول).
• تحويل بقيمة صفرية: من هذا العنوان «المشابه» يتم إرسال معاملة إليك بقيمة 0 أو 0.0001 من التوكن.
• الفخ: في المرة التالية التي ترغب فيها بإرسال أموال إلى نفس الجهة، قد تقوم بحكم العادة بنسخ العنوان من سجل المعاملات الأخيرة في واجهة المحفظة (MetaMask، Trust Wallet).
• النتيجة: تقوم بنفسك بإرسال أصولك إلى محفظة «الغبار» الخاصة بالمهاجم.

ملاحظة مهمة: في الشبكات التي تعتمد على العقود الذكية، قد لا يكون «الغبار» مجرد مبلغ صغير، بل حتى مجرد استدعاء دالة transfer يمكن أن يُعتبر كذلك.

كيف تستخدم الجهات «الغبار» لربطه بعنوان IP

لا يعرف الكثيرون أن هجوم الغبار يمكن دمجه مع مراقبة عقد الشبكة (Nodes).

عندما تقوم محفظتك ببث (broadcast) معاملة تحتوي على «علامة»، تقوم شركات التحليل (مثل Chainalysis أو CipherTrace) بمطابقة وقت ظهور هذه المعاملة في الـ mempool مع عناوين IP للعقد النشطة. إذا لم تستخدم Tor أو VPN موثوق أثناء مزامنة محفظتك، فقد يتم ربط موقعك الفعلي بمجموعة من المحافظ، حتى على مستوى مزود الخدمة.

دليل تقني: تنظيف محفظة «ملوثة»

إذا اكتشفت وجود غبار وقمت بالفعل «بالتقاطه» (أي مزجه مع أموالك الأساسية)، تُعتبر محفظتك مخترقة (linked). إليك الخطوات لاستعادة الخصوصية:

• فصل UTXO: استخدم محفظة مثل Sparrow أو Electrum. انتقل إلى تبويب Coins (UTXO). حدّد جميع المدخلات الصغيرة المشبوهة وضع لها الوسم "DUST - DO NOT SPEND".
• السحب عبر CoinJoin: مرّر الأموال النظيفة المتبقية عبر دورة خلط (مثل Samourai Whirlpool). هذا يخلق انقطاعًا في سجل الملكية.
• عزل الباقي (Change): الخطأ الأكثر شيوعًا هو نسيان «الباقي». إذا أرسلت الرصيد الأساسي لكن الباقي من المعاملة عاد إلى عنوان مرتبط بالغبار، تبقى الصلة قائمة. استخدم دائمًا إعداد Manual Change Output.
• «حرق» الغبار: الطريقة الآمنة الوحيدة للتخلص من الغبار، إذا لا ترغب بالاحتفاظ به، هي إرساله إلى عنوان حرق (burn address)، مثل: 1CounterpartyXXXXXXXXXXXXXXXUWLpS، ولكن قم بذلك في معاملة منفصلة وباستخدام هذا الـ UTXO فقط دون غيره.

هجمات الغبار في Lightning Network (LN)

هذا مجال غير معروف على نطاق واسع. في LN، تعمل الهجمات بشكل مختلف:

• هجمات الاستكشاف (Probe Attacks): يقوم المهاجم بإرسال مدفوعات صغيرة عبر قنوات يُفترض أنها ستفشل (بسبب hash غير صحيح).
• الهدف: معرفة أرصدة السيولة في قنوات معينة وبناء خريطة توضح من يتعامل مع من وبأي مبالغ خارج البلوكشين الرئيسي. هذا يُعد «غبارًا» على مستوى التوجيه.

قائمة التحقق للنظافة الاحترافية

نصيحة أمنية مفيدة:

إذا رأيت توكنات في محفظتك لم تقم بشرائها (مثل VOTING_TOKEN أو FREE_AIRDROP)، فلا تحاول بيعها أو تحويلها. في بعض شبكات البلوكشين، مجرد التفاعل مع عقد ذكي خبيث قد يفعّل سكربت يقوم «بسحب» رصيدك الأساسي بالكامل (Gas Drainers).

ننتقل الآن إلى الجزء الأكثر تقدماً: كيف تُستخدم هجمات الغبار جنباً إلى جنب مع OSINT (الاستخبارات مفتوحة المصدر)، وكيف تشارك منصات التداول الحديثة في هذه العملية، أحياناً دون أن تدرك ذلك.

الغبار كـ «منارة» في تحقيقات OSINT

تستخدم أجهزة الاستخبارات والمتتبعون المحترفون (مثل Chainalysis) الغبار ليس فقط لربط العناوين، بل أيضاً لوضع طوابع زمنية بشكل تسلسلي.

أسلوب «الـ Active Ping»

تخيّل أن محللاً يشتبه بأن مجموعة من العناوين تعود لشخص واحد، لكن لا يوجد ارتباط مباشر على البلوكشين.

• يقومون بإرسال غبار إلى العنوان A الساعة 12:00، وإلى العنوان B الساعة 12:05.
• إذا تم دمج هذين المُدخلين (UTXO) في معاملة صادرة واحدة عند الساعة 14:00، يحصل المحلل على تأكيد: كلا المفتاحين الخاصين موجودان في نفس البرنامج (المحفظة)، والمُعدّة لتجميع المُدخلات تلقائياً.

هجمات الغبار وعناوين الفكة (Change Addresses)

هذه نقطة ضعف حرجة. معظم المحافظ الحديثة تستخدم معيار BIP44/BIP84، حيث يتم إنشاء عنوان جديد لكل فكة.

• الفخ: إذا وصل غبار إلى أحد عناوينك القديمة ولم تنتبه لذلك، فقد تقوم المحفظة بسحب هذا الغبار تلقائياً عند إجراء معاملة لاحقة لتكوين المبلغ.
• النتيجة: يتم إرسال الفكة الجديدة إلى عنوان جديد، لكن هذا العنوان يصبح مرتبطاً بشكل دائم بتاريخ إدخال الغبار. وبالتالي يصبح رصيدك «النظيف» بالكامل مُعلّماً.

تفصيل غير معروف كثيراً: الغبار في شبكتي Monero (XMR) و Zcash (ZEC)

يعتقد الكثيرون أن عملات الخصوصية منيعة. لكن هذا ليس دقيقاً تماماً:

• Zcash (عناوين T): إذا كنت تستخدم عناوين شفافة (T)، فإن هجوم الغبار يعمل بنفس طريقة بيتكوين.
• Monero: بفضل التواقيع الحلقية (Ring Signatures)، لا يمكن تنفيذ هجوم غبار مباشر. ومع ذلك، يوجد مفهوم يُعرف باسم “Inevitability Attack” — حيث يقوم المهاجم بإغراق الشبكة بمعاملات صغيرة جداً بهدف «تلويث» مجموعات المخرجات التي يختارها المستخدمون الآخرون لتواقيعهم الحلقية، مما يؤدي إلى تضييق دائرة المشتبه بهم عبر الاستبعاد.

كيف تعمل «بوابات العملات الورقية» (Exchanges)

تمتلك منصات التداول (Binance, OKX, Coinbase) أنظمة خاصة لاكتشاف الغبار.

• إذا قمت بإيداع أموال تحتوي على «غبار» قادم من عنوان مخترق معروف أو سوق دارك نت، سيتم وضع علامة High Risk على حسابك.
• حتى لو كانت قيمة الغبار 10 سنت فقط، قد تقوم المنصة بتجميد سحب كامل رصيدك حتى يتم التحقق من مصدر الأموال (فحص KYC/AML).

نصيحة: قبل إرسال مبلغ كبير إلى منصة تداول، تحقق دائماً من تبويب UTXO في محفظتك. إذا وجدت معاملات صغيرة مشبوهة، لا تستخدمها عند الإرسال إلى منصة تتطلب KYC.

النهج الهندسي: سكربت للتحليل الجماعي (Batch Analysis)

إذا كان لديك مئات العناوين، فمن غير الواقعي فحصها يدوياً. يستخدم المحترفون طلبات API إلى مفهرسات البلوكشين. فيما يلي مثال على منطق باستخدام JavaScript (Node.js) للتحقق من وجود الغبار عبر Blockstream API:

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // الحد الأدنى 1000 ساتوشي
            console.warn(`[!] تحذير: تم اكتشاف غبار على العنوان ${address}!`);
            console.log(`TXID: ${utxo.txid}, القيمة: ${utxo.value} sat`);
        }
    });
}

بروتوكول الأمان النهائي (Anti-Dust Protocol)

• العزل: احتفظ بالعناوين «العامة» (للتبرعات أو المدفوعات) منفصلة عن التخزين «البارد». لا تقم أبداً بنقل الأموال بينها بشكل مباشر.
• التسمية: في محافظ مثل Sparrow، قم دائماً بوضع تسمية لكل معاملة. إذا رأيت معاملة بدون تسميتك — فهي غبار.
• الحد الأدنى: قم بتعيين معامل dustrelayfee في إعدادات المحفظة (إذا كنت تستخدم Bitcoin Core) لتجاهل المعاملات الصغيرة جداً على مستوى العقدة.
• المحافظ الصلبة: كن حذراً مع Ledger/Trezor. تطبيقاتهم الافتراضية (Ledger Live) غالباً لا توفر ميزة Coin Control «بشكل افتراضي» في الواجهة البسيطة، مما يجعل المستخدمين أهدافاً سهلة لربط العناوين تلقائياً. من الأفضل ربط المحفظة الصلبة بواجهات مثل Electrum أو Specter.