Appuyez sur ESC pour fermer

Attaque par Dusting : Comment désanonymiser un wallet crypto ?

Attaque par Dusting : Comment désanonymiser un wallet crypto ?

Il s'agit d'une plongée approfondie dans l'une des techniques de crypto-analyse les plus sournoises. Une attaque de poussière n'est pas un piratage au sens classique, c'est de l'ingénierie sociale au niveau de la blockchain, où les microtransactions remplacent les emails de phishing.

Attaque de poussière : La mécanique du « Marqueur numérique »

Une attaque de poussière consiste à envoyer de toutes petites quantités de cryptomonnaie (appelées « poussière ») à des milliers d'adresses publiques. La « poussière » désigne un montant inférieur aux frais de transaction nécessaires pour le transférer, par exemple 1 à 500 satoshis.

Pourquoi les services de renseignement et Chainalysis en ont-ils besoin ?

L'objectif principal est la désanonymisation. Les blockchains comme Bitcoin, Litecoin et Dogecoin fonctionnent sur le modèle UTXO (Unspent Transaction Output). Lorsque vous effectuez une transaction, votre portefeuille combine la « monnaie de retour » et plusieurs petites entrées en une seule transaction.

Si vous utilisez accidentellement la poussière reçue lors de votre prochain paiement, le logiciel d'analyse (par exemple Crystal ou Elliptic) reliera instantanément toutes vos adresses en un seul cluster.

Anatomie de l'attaque : De la transaction à la passerelle fiat

  • Semis (Seeding) : L'attaquant (fonds ou organisme gouvernemental) envoie 100 satoshis à 10 000 adresses trouvées sur la blockchain.
  • Attente (Waiting) : L'utilisateur voit un « cadeau » dans son portefeuille. La plupart des utilisateurs novices ignorent un solde de +0,01 $.
  • Consolidation (Linking) : Vous décidez de retirer 1 BTC vers une bourse. Votre portefeuille combine automatiquement vos 0,99 BTC avec ces 100 satoshis de « poussière » pour couvrir le montant ou les frais.
  • Identification (Doxxing) : Une fois que la poussière est mélangée à vos fonds principaux, l'analyste voit : « Les adresses A, B et C appartiennent à la même personne ». Si l'une de ces adresses a déjà interagi avec une bourse (KYC), votre anonymat est perdu.

Analyse pratique : À quoi cela ressemble dans le code

Si vous êtes développeur ou utilisez des outils en ligne de commande, vous pouvez détecter la poussière en analysant vos UTXO. Voici un exemple de filtrage programmatique (en Python/Web3) des transactions suspectes.

Python

# Exemple de logique pour filtrer les entrées suspectes (UTXO)
MIN_SAFE_THRESHOLD = 546  # Limite de poussière pour Bitcoin
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"Attention ! UTXO suspect détecté : {tx['txid']} - {tx['value']} satoshis")
    return safe_utxos

Fait méconnu : « Poussière intelligente » et smart contracts

Sur des réseaux comme Ethereum (ERC-20), ces attaques ont évolué. Vous recevez un token « gratuit » (par exemple Fake_USDT). La description ou le code du token contient une URL. En essayant d’échanger ce token sur un DEX, le smart contract peut demander une approbation (Approve), donnant à l’attaquant accès à vos actifs réels, ou simplement enregistrer votre IP en suivant le lien depuis les métadonnées du token.

Stratégies de défense : Comment ne pas se faire marquer

1. Coin Control (Arme principale)

Utilisez des portefeuilles avec la fonction Coin Control (Bitcoin Core, Electrum, Samourai, Sparrow).

Que faire : Trouvez la transaction suspecte dans la liste UTXO, faites un clic droit et sélectionnez "Freeze" ou "Do not spend". Votre portefeuille ne touchera jamais cette poussière.

2. Utilisation de mixers et CoinJoin

Des technologies comme Whirlpool (Samourai) ou WabiSabi (Wasabi) divisent vos fonds en petites parties et les mélangent avec d'autres participants, rendant l’attaque de poussière inutile car les liens entre les entrées sont volontairement rompus.

3. Rotation des adresses

N'utilisez jamais la même adresse deux fois. Les portefeuilles HD modernes le font automatiquement, mais souvenez-vous : si vous consolidez toutes les adresses en une seule transaction, la structure HD ne vous protégera pas.

Attaque de poussière comme outil des « fonds »

Les acteurs institutionnels importants utilisent la poussière non pas pour voler de l'argent, mais pour surveiller la concurrence.

Scénario : Le fonds « A » marque les portefeuilles d’une grosse baleine. Dès que la baleine déplace des fonds (y compris la poussière), le fonds reçoit un signal d’une éventuelle prise de bénéfices ou d’un dump du marché, ce qui lui permet d’entrer dans la transaction plus tôt (front-running).

Si la première partie portait sur les bases, ici nous allons aborder l’analyse avancée et les méthodes utilisées par les professionnels pour la défense comme pour l’attaque.

Désanonymisation avancée : méthode du « Address Poisoning »

Il s’agit d’une variante moderne et particulièrement dangereuse de l’attaque par poussière, pertinente pour les réseaux Ethereum (EVM), TRON et Polygon.

Mécanique de l’attaque :

  • Création d’un doublon : Un hacker ou un analyste génère une adresse dont les 4 à 6 premiers et les 4 à 6 derniers caractères correspondent à ceux de votre contrepartie habituelle (par exemple, un wallet d’exchange).
  • Transaction nulle : Depuis cette adresse « ressemblante », une transaction de 0 ou 0,0001 token vous est envoyée.
  • Le piège : La prochaine fois que vous voudrez envoyer des fonds à votre contrepartie, vous pouvez, par habitude, copier l’adresse depuis l’historique des dernières transactions dans l’interface de votre wallet (MetaMask, Trust Wallet).
  • Résultat : Vous envoyez vous-même vos actifs vers le wallet « poussière » de l’attaquant.

Point important : Sur les réseaux avec smart contracts, la « poussière » peut être non seulement une somme minime, mais aussi le simple fait d’appeler une fonction transfer.

Comment les services utilisent la « poussière » pour la corrélation avec l’IP

Peu de gens savent qu’une attaque par poussière peut être combinée avec la surveillance des nœuds du réseau.

Lorsque votre wallet diffuse (broadcast) une transaction contenant un « marqueur », des sociétés d’analyse (comme Chainalysis ou CipherTrace) corrèlent le moment où cette transaction apparaît dans le mempool avec les adresses IP des nœuds actifs. Si vous n’utilisez pas Tor ou un VPN de qualité lors de la synchronisation de votre wallet, votre adresse physique réelle peut être reliée à un cluster de wallets, jusqu’au niveau du fournisseur.

Guide technique : nettoyage d’un wallet « contaminé »

Si vous avez détecté de la poussière et que vous l’avez déjà « ramassée » (mélangée avec vos fonds principaux), votre wallet est considéré comme compromis (linked). Voici l’algorithme pour restaurer votre confidentialité :

  • Séparation des UTXO : Utilisez un wallet comme Sparrow ou Electrum. Allez dans l’onglet Coins (UTXO). Sélectionnez toutes les petites entrées suspectes et marquez-les avec le tag "DUST - DO NOT SPEND".
  • Sortie via CoinJoin : Faites passer les fonds propres restants par un cycle de mixage (par exemple, Samourai Whirlpool). Cela crée une rupture dans l’historique de propriété.
  • Isolation du change : L’erreur la plus fréquente est d’oublier le change. Si vous envoyez le solde principal mais que le change de cette transaction revient sur une adresse liée à la poussière, le lien est conservé. Utilisez toujours l’option Manual Change Output.
  • « Brûler » la poussière : Le seul moyen sûr de s’en débarrasser, si vous ne souhaitez pas la conserver, est de l’envoyer vers une adresse de burn, par exemple : 1CounterpartyXXXXXXXXXXXXXXXUWLpS, mais faites-le dans une transaction séparée, en utilisant strictement ce seul UTXO et rien d’autre.

Attaques par poussière dans le Lightning Network (LN)

C’est un domaine peu connu. Dans le LN, les attaques fonctionnent différemment :

  • Attaques probe : L’attaquant envoie des micro-paiements via des canaux qui sont voués à échouer (hash invalide).
  • Objectif : Découvrir les soldes de liquidité dans des canaux spécifiques et cartographier qui interagit avec qui et pour quels montants en dehors de la blockchain principale. C’est de la « poussière » au niveau du routage.

Check-list d’hygiène professionnelle

Type de menaceMéthode de protection
UTXO DustCoin Control (gel des petites entrées)
Address PoisoningVérification manuelle de chaque caractère de l’adresse (ne pas copier depuis l’historique)
ERC-20 SpamNe jamais approuver des tokens inconnus
IP LinkingUtilisation de son propre nœud via Tor

Conseil de sécurité utile :

Si vous voyez dans votre wallet des tokens que vous n’avez pas achetés (par exemple, VOTING_TOKEN ou FREE_AIRDROP), n’essayez pas de les vendre ni de les transférer. Sur certaines blockchains, le simple fait d’interagir avec un smart contract malveillant peut déclencher un script qui « vide » votre solde principal (gas drainers).

Nous passons à la partie la plus avancée : comment les attaques par poussière sont utilisées en combinaison avec l'OSINT (renseignement en sources ouvertes) et comment les plateformes d’échange modernes participent à ce processus, parfois sans même s’en rendre compte.

La poussière comme « Balise » dans les enquêtes OSINT

Les agences de renseignement et les traqueurs professionnels (comme Chainalysis) utilisent la poussière non seulement pour relier des adresses, mais aussi pour créer des horodatages chronologiques.

La méthode du « Ping actif »

Imaginez qu’un analyste suspecte qu’un groupe d’adresses appartient à une seule personne, mais qu’il n’y a pas de lien direct sur la blockchain.

  • Ils envoient de la poussière à l’adresse A à 12h00 et à l’adresse B à 12h05.
  • Si à 14h00 ces deux entrées (UTXO) sont consolidées dans une seule transaction sortante, l’analyste obtient la confirmation : les deux clés privées se trouvent dans le même logiciel (portefeuille), configuré pour collecter automatiquement les entrées.

Attaques par poussière et adresses de retour (Change Addresses)

C’est un point critique de vulnérabilité. La plupart des portefeuilles modernes utilisent la norme BIP44/BIP84, générant une nouvelle adresse pour chaque retour.

  • Piège : Si de la poussière arrive sur une de vos anciennes adresses et que vous n’en êtes pas conscient, le portefeuille peut discrètement « ramasser » cette poussière lors de la prochaine dépense pour former le montant de la transaction.
  • Conséquence : Votre nouveau retour est envoyé à une nouvelle adresse, mais cette adresse est désormais définitivement liée à l’historique de l’entrée poussiéreuse. Tout votre solde « propre » devient marqué.

Détail méconnu : la poussière dans les réseaux Monero (XMR) et Zcash (ZEC)

Beaucoup pensent que les crypto-monnaies anonymes sont invulnérables. Ce n’est pas tout à fait vrai :

  • Zcash (adresses T) : Si vous utilisez des adresses transparentes (T), l’attaque par poussière fonctionne de la même manière que sur Bitcoin.
  • Monero : Grâce aux signatures en anneau (Ring Signatures), une attaque par poussière directe est impossible. Cependant, il existe le concept d’« Inevitability Attack » : l’attaquant inonde le réseau de microtransactions pour « empoisonner » les ensembles de sorties que d’autres utilisateurs choisissent pour leurs signatures en anneau, réduisant ainsi le cercle des suspects par élimination.

Comment fonctionnent les « Passerelles Fiat » (Exchanges)

Les plateformes d’échange (Binance, OKX, Coinbase) disposent de leurs propres systèmes de détection de poussière.

  • Si vous déposez des fonds contenant de la « poussière » provenant d’une adresse de hacker connue ou d’un marché darknet, votre compte est signalé comme High Risk.
  • Même si la quantité de poussière est seulement de 10 centimes, la plateforme peut bloquer le retrait de l’intégralité de votre dépôt jusqu’à ce que l’origine des fonds soit clarifiée (vérification KYC/AML).

Conseil : Avant d’envoyer une grosse somme à une plateforme, vérifiez toujours l’onglet UTXO dans votre portefeuille. S’il y a de petites transactions suspectes, ne les utilisez pas pour un envoi vers une plateforme KYC.

Approche technique : Script d’analyse par lots (Batch Analysis)

Si vous avez des centaines d’adresses, les vérifier manuellement est irréaliste. Les professionnels utilisent des requêtes API vers des indexeurs de blockchain. Voici un exemple de logique en JavaScript (Node.js) pour vérifier la présence de poussière via l’API Blockstream :

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // Seuil de 1000 satoshis
            console.warn(`[!] ATTENTION : Poussière détectée sur l’adresse ${address} !`);
            console.log(`TXID : ${utxo.txid}, Montant : ${utxo.value} sat`);
        }
    });
}

Protocole de sécurité final (Anti-Dust Protocol)

  • Isolation : Gardez les adresses « publiques » (pour dons ou paiements) séparées des stockages « froids ». Ne transférez jamais directement des fonds entre eux.
  • Étiquetage : Dans des portefeuilles comme Sparrow, étiquetez toujours chaque transaction. Si vous voyez une transaction sans votre étiquette — c’est de la poussière.
  • Seuil minimum : Réglez le paramètre dustrelayfee dans les paramètres du portefeuille (si vous utilisez Bitcoin Core) pour ignorer les transactions trop petites au niveau du nœud.
  • Portefeuilles matériels : Soyez prudent avec Ledger/Trezor. Leurs applications standard (Ledger Live) n’incluent souvent pas la fonction Coin Control « prête à l’emploi » dans l’interface simple, ce qui rend leurs utilisateurs faciles à cibler pour le regroupement automatique des adresses. Il vaut mieux connecter le portefeuille matériel à une interface comme Electrum ou Specter.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Partager votre avis

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués *

Sélectionné pour vous

Backdoors Smart Contracts : Les Risques d'Upgradeability

Backdoors Smart Contracts : Les Risques d'Upgradeability
5 erreurs de ChatGPT sur les nodes anonymes

5 erreurs de ChatGPT sur les nodes anonymes
Passkeys vs Seed Phrases : La crypto plus sûre que la banque

Passkeys vs Seed Phrases : La crypto plus sûre que la banque
EXMON Academy | Blockchain, trading & sécurité EXMON Academy | Blockchain, trading & sécurité

La véritable liberté commence par la sécurité personnelle et l'anonymat. Cryptomonnaie : votre arme contre le contrôle financier.

Tag Clouds

#trading #security #anonymat #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.