Drücken Sie ESC, um zu schließen

Dusting Attacks: So werden Krypto-Wallets deanonymisiert

Dusting Attacks: So werden Krypto-Wallets deanonymisiert

Dies ist ein tiefer Einblick in eine der hinterhältigsten Techniken der Kryptoanalyse. Ein Dusting-Angriff ist kein Hack im herkömmlichen Sinne, sondern Social Engineering auf Blockchain-Ebene, bei dem Mikrotransaktionen anstelle von Phishing-E-Mails verwendet werden.

Dusting-Angriff: Die Mechanik des „Digitalen Zeichens“

Ein Dusting-Angriff besteht darin, winzige Mengen Kryptowährung (so genanntes „Staub“) an tausende öffentliche Adressen zu senden. „Staub“ bezeichnet einen Betrag, der kleiner ist als die Transaktionsgebühr für die Übertragung, z. B. 1–500 Satoshi.

Warum benötigen Geheimdienste und Chainalysis das?

Das Hauptziel ist die De-Anonymisierung. Blockchains wie Bitcoin, Litecoin und Dogecoin arbeiten nach dem UTXO-Modell (Unspent Transaction Output). Wenn Sie eine Transaktion senden, fasst Ihre Wallet „Wechselgeld“ und mehrere kleine Eingänge zu einer einzigen Transaktion zusammen.

Wenn Sie versehentlich den erhaltenen Staub in Ihrer nächsten Zahlung verwenden, verknüpft Analysesoftware (z. B. Crystal oder Elliptic) sofort alle Ihre Adressen zu einem Cluster.

Anatomie des Angriffs: Von der Transaktion bis zum Fiat-Gateway

  • Seeding: Der Angreifer (Fonds oder staatliche Stelle) sendet 100 Satoshi an 10.000 Adressen, die in der Blockchain gefunden wurden.
  • Waiting: Der Benutzer sieht ein „Geschenk“ in seiner Wallet. Die meisten unerfahrenen Nutzer ignorieren ein +$0,01-Guthaben.
  • Linking: Sie entscheiden sich, 1 BTC an eine Börse zu überweisen. Ihre Wallet fasst automatisch Ihre 0,99 BTC und die 100 Satoshi „Staub“ zusammen, um den Betrag oder die Gebühr abzudecken.
  • Doxxing: Sobald der Staub mit Ihrem Hauptguthaben vermischt ist, sieht der Analyst: „Adressen A, B und C gehören derselben Person.“ Wenn eine dieser Adressen jemals mit einer KYC-Börse interagiert hat, ist Ihre Anonymität aufgehoben.

Praktische Analyse: So sieht es im Code aus

Wenn Sie Entwickler sind oder Konsolentools verwenden, können Sie Staub erkennen, indem Sie Ihre UTXOs analysieren. Hier ein Beispiel, wie man verdächtige Transaktionen programmatisch (mit Python/Web3) filtern kann.

Python

# Beispiel-Logik zum Filtern verdächtiger Eingänge (UTXO)
MIN_SAFE_THRESHOLD = 546  # Dust-Limit für Bitcoin
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"Achtung! Verdächtiger UTXO gefunden: {tx['txid']} - {tx['value']} Satoshi")
    return safe_utxos

Wenig bekannter Fakt: „Smart Dust“ und Smart Contracts

In Netzwerken wie Ethereum (ERC-20) haben sich diese Angriffe weiterentwickelt. Sie erhalten ein „kostenloses“ Token (z. B. Fake_USDT). In der Tokenbeschreibung oder im Code ist eine URL hinterlegt. Wenn Sie versuchen, dieses Token auf einer DEX zu tauschen, kann der Smart Contract eine Genehmigung (Approve) verlangen, die dem Angreifer Zugriff auf Ihre echten Assets gibt, oder einfach Ihre IP protokollieren, wenn Sie dem Link aus den Token-Metadaten folgen.

Verteidigungsstrategien: Wie man nicht markiert wird

1. Coin Control (Hauptwaffe)

Verwenden Sie Wallets mit Coin Control-Funktion (Bitcoin Core, Electrum, Samourai, Sparrow).

Was zu tun ist: Finden Sie die verdächtige Transaktion in der UTXO-Liste, klicken Sie mit der rechten Maustaste und wählen Sie „Freeze“ oder „Do not spend“. Ihre Wallet wird diesen Staub niemals anfassen.

2. Verwendung von Mixern und CoinJoin

Technologien wie Whirlpool (Samourai) oder WabiSabi (Wasabi) teilen Ihre Mittel in kleinere Teile und mischen sie mit anderen Teilnehmern, wodurch der Dusting-Angriff nutzlos wird, da die Verbindungen zwischen den Eingängen absichtlich unterbrochen werden.

3. Adressrotation

Verwenden Sie niemals dieselbe Adresse zweimal. Moderne HD-Wallets tun dies automatisch, aber denken Sie daran: Wenn Sie alle Adressen in einer Transaktion zusammenfassen, schützt Sie die HD-Struktur nicht.

Dusting-Angriff als Werkzeug für „Fonds“

Große institutionelle Akteure nutzen Staub nicht zum Geldstehlen, sondern zur Überwachung von Konkurrenten.

Szenario: Fonds „A“ markiert die Wallets eines großen Wals. Sobald der Wal Mittel bewegt (einschließlich Staub), erhält der Fonds ein Signal für potenziellen Profit-Take oder Markt-Dump, wodurch er früher in den Trade einsteigen kann (Front-Running).

Wenn sich der erste Teil mit den Grundlagen befasst hat, gehen wir hier auf fortgeschrittene Analysen und Methoden ein, die Profis sowohl zur Verteidigung als auch für Angriffe einsetzen.

Fortgeschrittene Deanonymisierung: Methode des „Address Poisoning“

Dabei handelt es sich um eine moderne und äußerst gefährliche Variante eines Dusting-Angriffs, relevant für die Netzwerke Ethereum (EVM), TRON und Polygon.

Funktionsweise des Angriffs:

  • Erstellen eines Doppelgängers: Ein Hacker oder Analyst erzeugt eine Adresse, bei der die ersten 4–6 und die letzten 4–6 Zeichen mit denen eines häufig genutzten Gegenübers (z. B. einer Exchange-Wallet) übereinstimmen.
  • Null-Transaktion: Von dieser „ähnlichen“ Adresse wird Ihnen eine Transaktion über 0 oder 0,0001 Token gesendet.
  • Die Falle: Wenn Sie das nächste Mal Geld an Ihren Gegenpart senden möchten, kopieren Sie möglicherweise aus Gewohnheit die Adresse aus dem Verlauf der letzten Transaktionen in Ihrer Wallet-Oberfläche (MetaMask, Trust Wallet).
  • Ergebnis: Sie senden Ihre Assets selbst an die „Dust“-Wallet des Angreifers.

Wichtiger Hinweis: In Netzwerken mit Smart Contracts kann „Dust“ nicht nur eine winzige Menge sein, sondern auch allein der Aufruf der transfer-Funktion.

Wie Behörden „Dust“ zur Verknüpfung mit IP-Adressen nutzen

Nur wenige wissen, dass ein Dusting-Angriff mit der Überwachung von Netzwerkknoten kombiniert werden kann.

Wenn Ihre Wallet eine Transaktion mit einem „Marker“ broadcastet, gleichen Analysefirmen (wie Chainalysis oder CipherTrace) den Zeitpunkt des Auftauchens dieser Transaktion im Mempool mit den IP-Adressen aktiver Knoten ab. Wenn Sie beim Synchronisieren Ihrer Wallet weder Tor noch ein hochwertiges VPN verwenden, kann Ihre reale physische Adresse einem Wallet-Cluster bis auf Provider-Ebene zugeordnet werden.

Technischer Leitfaden: Bereinigung einer „kontaminierten“ Wallet

Wenn Sie Dust entdeckt und bereits „aufgenommen“ (mit Ihren Hauptmitteln vermischt) haben, gilt Ihre Wallet als kompromittiert (linked). Hier ist ein Ablauf zur Wiederherstellung der Privatsphäre:

  • UTXO-Trennung: Verwenden Sie eine Wallet wie Sparrow oder Electrum. Gehen Sie in den Tab Coins (UTXO). Markieren Sie alle verdächtigen kleinen Eingänge und versehen Sie sie mit dem Tag "DUST - DO NOT SPEND".
  • Auszahlung über CoinJoin: Lassen Sie die verbleibenden sauberen Mittel durch einen Mixing-Zyklus laufen (z. B. Samourai Whirlpool). Dadurch entsteht ein Bruch in der Besitzhistorie.
  • Change-Isolierung: Der häufigste Fehler ist, das „Change“ zu vergessen. Wenn Sie den Hauptbetrag senden, aber das Change aus dieser Transaktion an eine mit Dust verknüpfte Adresse zurückgeht, bleibt die Verbindung bestehen. Nutzen Sie immer die Einstellung Manual Change Output.
  • „Verbrennen“ von Dust: Der einzige sichere Weg, Dust loszuwerden, wenn Sie ihn nicht behalten möchten, ist das Senden an eine Burn-Adresse, z. B.: 1CounterpartyXXXXXXXXXXXXXXXUWLpS. Tun Sie dies jedoch in einer separaten Transaktion und verwenden Sie ausschließlich dieses eine UTXO.

Dusting-Angriffe im Lightning Network (LN)

Dies ist ein weniger bekanntes Feld. Im LN funktionieren Angriffe anders:

  • Probe-Angriffe: Der Angreifer sendet Mikrozahlungen über Kanäle, die garantiert fehlschlagen (ungültiger Hash).
  • Ziel: Liquiditätsstände in bestimmten Kanälen herauszufinden und eine Karte zu erstellen, wer mit wem und in welchen Beträgen außerhalb der Haupt-Blockchain interagiert. Das ist „Dust“ auf Routing-Ebene.

Checkliste für professionelle Hygiene

BedrohungsartSchutzmethode
UTXO DustCoin Control (Kleine Eingänge einfrieren)
Address PoisoningJede Adresse manuell Zeichen für Zeichen prüfen (nicht aus dem Verlauf kopieren)
ERC-20 SpamNiemals unbekannte Tokens freigeben
IP LinkingEigenen Node über Tor verwenden

Nützlicher Sicherheitstipp:

Wenn Sie in Ihrer Wallet Tokens sehen, die Sie nicht gekauft haben (z. B. VOTING_TOKEN oder FREE_AIRDROP), versuchen Sie nicht, diese zu verkaufen oder zu übertragen. In manchen Blockchains kann bereits die Interaktion mit einem bösartigen Smart Contract ein Skript auslösen, das Ihr Hauptguthaben „leert“ (Gas Drainers).

Wir kommen zum fortgeschrittensten Teil: wie Dust-Angriffe in Verbindung mit OSINT (Open-Source-Intelligence) verwendet werden und wie moderne Börsen in diesen Prozess involviert sind, manchmal sogar ohne es zu bemerken.

Dust als „Leuchtfeuer“ in OSINT-Ermittlungen

Geheimdienste und professionelle Tracker (wie Chainalysis) nutzen Dust nicht nur zum Verknüpfen von Adressen, sondern auch für chronologische Zeitstempel.

Die „Active Ping“-Methode

Stellen Sie sich vor, ein Analyst vermutet, dass eine Gruppe von Adressen einer einzigen Person gehört, aber es gibt keine direkte Verbindung in der Blockchain.

  • Sie senden Dust an Adresse A um 12:00 Uhr und an Adresse B um 12:05 Uhr.
  • Wenn um 14:00 Uhr beide Eingänge (UTXOs) in einer einzigen ausgehenden Transaktion konsolidiert werden, erhält der Analyst die Bestätigung: Beide privaten Schlüssel befinden sich in derselben Software (Wallet), die so konfiguriert ist, dass Eingänge automatisch gesammelt werden.

Dust-Angriffe und Change-Adressen

Dies ist ein kritischer Schwachpunkt. Die meisten modernen Wallets verwenden den Standard BIP44/BIP84 und generieren für jeden Change eine neue Adresse.

  • Falle: Wenn Dust auf eine Ihrer alten Adressen gelangt ist und Sie nichts davon wissen, kann das Wallet diesen Dust bei der nächsten Ausgabe unbemerkt „abrufen“, um den Betrag zu bilden.
  • Folge: Ihr neuer Change geht an eine neue Adresse, aber diese Adresse ist jetzt dauerhaft mit der Historie des Dust-Eingangs verbunden. Ihr gesamtes „neues“ sauberes Guthaben wird markiert.

Weniger bekannte Details: Dust in Monero (XMR) und Zcash (ZEC)

Viele glauben, dass Privacy-Coins immun sind. Das ist nicht ganz richtig:

  • Zcash (T-Adressen): Wenn Sie transparente (T) Adressen verwenden, funktioniert der Dust-Angriff genauso wie bei Bitcoin.
  • Monero: Dank Ring-Signaturen ist ein direkter Dust-Angriff nicht möglich. Es gibt jedoch das Konzept des „Inevitability Attack“ – der Angreifer überschwemmt das Netzwerk mit Mikrotransaktionen, um Ausgangsmengen zu „vergiften“, die andere Benutzer für ihre Ring-Signaturen auswählen, wodurch der Kreis der Verdächtigen durch Ausschluss eingeschränkt wird.

Wie „Fiat-Gateways“ (Börsen) funktionieren

Börsen (Binance, OKX, Coinbase) haben eigene Dust-Erkennungssysteme.

  • Wenn Sie eine Einzahlung tätigen, die Dust von einer bekannten Hackeradresse oder einem Darknet-Markt enthält, wird Ihr Konto als High Risk markiert.
  • Selbst wenn die Dust-Menge nur 10 Cent beträgt, kann die Börse die Auszahlung Ihres gesamten Deposits blockieren, bis die Herkunft der Mittel geklärt ist (KYC/AML-Prüfung).

Tip: Überprüfen Sie vor der Überweisung größerer Beträge auf eine Börse immer den UTXO-Reiter in Ihrem Wallet. Wenn dort verdächtige kleine Transaktionen vorhanden sind, verwenden Sie diese nicht für KYC-Plattformen.

Technischer Ansatz: Batch-Analyse-Skript

Wenn Sie Hunderte von Adressen haben, ist eine manuelle Prüfung unrealistisch. Profis verwenden API-Anfragen an Blockchain-Indexer. Hier ist ein Beispiel in JavaScript (Node.js), um Dust über die Blockstream-API zu prüfen:

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // Schwellenwert 1000 Satoshi
            console.warn(`[!] WARNUNG: Dust auf Adresse ${address} erkannt!`);
            console.log(`TXID: ${utxo.txid}, Betrag: ${utxo.value} sat`);
        }
    });
}

Endgültiges Sicherheitsprotokoll (Anti-Dust Protocol)

  • Isolation: Halten Sie „öffentliche“ Adressen (für Spenden oder Zahlungen) getrennt von „Cold Storage“. Überweisen Sie niemals direkt Mittel zwischen ihnen.
  • Labeling: In Wallets wie Sparrow sollten Sie jede Transaktion immer kennzeichnen. Wenn Sie eine Transaktion ohne Ihr Label sehen – das ist Dust.
  • Mindestschwelle: Stellen Sie in den Wallet-Einstellungen (wenn Sie Bitcoin Core verwenden) den Parameter dustrelayfee ein, um extrem kleine Transaktionen auf Node-Ebene zu ignorieren.
  • Hardware-Wallets: Seien Sie vorsichtig mit Ledger/Trezor. Ihre Standard-Apps (Ledger Live) enthalten oft nicht die Coin-Control-Funktion „out of the box“ in der einfachen Benutzeroberfläche, was Benutzer zu leichten Zielen für automatische Adressverknüpfung macht. Es ist besser, das Hardware-Wallet mit einer Schnittstelle wie Electrum oder Specter zu verbinden.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Diskussion beitreten

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Empfehlungen der Redaktion

Smart Contract Backdoors: Upgradeability & Proxy Risiken

Smart Contract Backdoors: Upgradeability & Proxy Risiken
5 ChatGPT-Fehler beim Setup anonymer Nodes

5 ChatGPT-Fehler beim Setup anonymer Nodes
Passkeys statt Seed Phrases: Krypto-Wallets sicherer als Banken

Passkeys statt Seed Phrases: Krypto-Wallets sicherer als Banken
EXMON Academy | Blockchain Research, Trading & Security EXMON Academy | Blockchain Research, Trading & Security

Wahre Freiheit beginnt mit persönlicher Sicherheit und Anonymität. Kryptowährung: Ihre Waffe gegen finanzielle Kontrolle.

Tag Clouds

#trading #security #anonymität #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.