Pressione ESC para fechar

Ataque de Dusting: Como sua Carteira Crypto é Identificada

Ataque de Dusting: Como sua Carteira Crypto é Identificada

Esta é uma análise profunda de uma das técnicas mais sorrateiras de criptoanálise. Um ataque de poeira não é um hack no sentido tradicional; é engenharia social em nível de blockchain, onde microtransações são usadas em vez de e-mails de phishing.

Ataque de Poeira: A Mecânica do “Marcador Digital”

Um ataque de poeira consiste em enviar quantias mínimas de criptomoeda (chamadas de “poeira”) para milhares de endereços públicos. “Poeira” se refere a um valor menor que a taxa de transação necessária para movê-la, por exemplo, 1–500 satoshis.

Por que agências de inteligência e a Chainalysis fazem isso?

O objetivo principal é a desanonimização. Blockchains como Bitcoin, Litecoin e Dogecoin operam no modelo UTXO (Unspent Transaction Output). Quando você envia uma transação, sua carteira combina o “troco” e várias entradas pequenas em uma única transação.

Se você acidentalmente incluir a poeira recebida no seu próximo pagamento, softwares de análise (como Crystal ou Elliptic) vinculam instantaneamente todos os seus endereços em um único cluster.

Anatomia do Ataque: Da Transação ao Gateway Fiat

  • Semear (Seeding): O atacante (fundo ou órgão governamental) envia 100 satoshis para 10.000 endereços encontrados na blockchain.
  • Aguardando (Waiting): O usuário vê um “presente” em sua carteira. A maioria dos usuários inexperientes ignora um saldo de +$0,01.
  • Vinculação (Linking): Você decide retirar 1 BTC para uma exchange. Sua carteira automaticamente soma seus 0,99 BTC com os 100 satoshis de “poeira” para cobrir o valor ou a taxa.
  • Doxxing (Identificação): Assim que a poeira se mistura aos seus fundos principais, o analista vê: “Endereços A, B e C pertencem à mesma pessoa.” Se algum desses endereços já interagiu com uma exchange que exige KYC, seu anonimato desaparece.

Análise Prática: Como Isso Aparece no Código

Se você é desenvolvedor ou utiliza ferramentas de console, pode detectar poeira analisando seus UTXOs. Aqui está um exemplo de como filtrar programaticamente transações suspeitas em Python/Web3.

Python

# Exemplo de lógica para filtrar entradas suspeitas (UTXO)
MIN_SAFE_THRESHOLD = 546  # Limite de poeira para Bitcoin
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"Atenção! UTXO suspeito detectado: {tx['txid']} - {tx['value']} satoshis")
    return safe_utxos

Fato Pouco Conhecido: “Poeira Inteligente” e Smart Contracts

Em redes como Ethereum (ERC-20), esses ataques evoluíram. Você recebe um token “gratuito” (por exemplo, Fake_USDT). Na descrição ou no código do token, há uma URL. Ao tentar trocar esse token em um DEX, o smart contract pode solicitar aprovação (Approve), dando ao atacante acesso aos seus ativos reais, ou apenas registrar seu IP ao seguir o link nos metadados do token.

Estratégias de Defesa: Como Evitar Ser Marcado

1. Coin Control (Arma Principal)

Use carteiras com a função Coin Control (Bitcoin Core, Electrum, Samourai, Sparrow).

O que fazer: Localize a transação suspeita na lista de UTXOs, clique com o botão direito e selecione "Freeze" ou "Do not spend". Sua carteira nunca tocará nessa poeira.

2. Uso de Mixers e CoinJoin

Tecnologias como Whirlpool (Samourai) ou WabiSabi (Wasabi) dividem seus fundos em partes menores e misturam com outros participantes, tornando o ataque de poeira inútil, já que os links entre entradas são deliberadamente quebrados.

3. Rotação de Endereços

Nunca use o mesmo endereço duas vezes. Carteiras HD modernas fazem isso automaticamente, mas lembre-se: se você consolidar todos os endereços em uma única transação, a estrutura HD não salvará você.

Ataque de Poeira como Ferramenta de “Fundos”

Grandes players institucionais usam a poeira não para roubar dinheiro, mas para monitorar concorrentes.

Cenário: O fundo “A” marca as carteiras de uma grande baleia. Assim que a baleia movimenta fundos (incluindo a poeira), o fundo recebe um sinal de possível realização de lucro ou dump de mercado, permitindo que entre na operação antes (front-running).

Se a primeira parte tratou do básico, aqui vamos entrar em análise avançada e nos métodos que profissionais usam tanto para defesa quanto para ataque.

Desanonimização Avançada: Método de “Address Poisoning”

Esta é uma variação moderna e extremamente perigosa do ataque de dusting, relevante para as redes Ethereum (EVM), TRON e Polygon.

Mecânica do ataque:

  • Criação de um endereço semelhante: Um hacker ou analista cria um endereço em que os primeiros 4–6 e os últimos 4–6 caracteres coincidem com os de um contraparte frequente (por exemplo, uma carteira de exchange).
  • Transferência de valor zero: A partir desse endereço “parecido”, é enviada para você uma transação de 0 ou 0,0001 token.
  • A armadilha: Na próxima vez que você for enviar fundos para o seu contraparte, pode acabar copiando o endereço do histórico de transações recentes na interface da carteira (MetaMask, Trust Wallet), por hábito.
  • Resultado: Você mesmo envia seus ativos para a carteira de “dust” do atacante.

Ponto importante: Em redes com smart contracts, “dust” pode não ser apenas um valor mínimo, mas também o simples fato de chamar a função transfer.

Como as agências usam “dust” para correlacionar com IP

Pouca gente sabe que o ataque de dusting pode ser combinado com o monitoramento de nós de rede.

Quando sua carteira faz o broadcast de uma transação que contém um “marcador”, empresas de análise (como Chainalysis ou CipherTrace) cruzam o momento em que essa transação aparece no mempool com os endereços IP dos nós ativos. Se você não usa Tor ou um VPN de boa qualidade ao sincronizar sua carteira, seu endereço físico real pode ser associado a um cluster de carteiras, até o nível do provedor.

Guia técnico: Limpando uma carteira “comprometida”

Se você detectou dust e já acabou “misturando” (com seus fundos principais), sua carteira é considerada comprometida (linked). Veja o passo a passo para recuperar a privacidade:

  • Separação de UTXO: Use uma carteira como Sparrow ou Electrum. Vá até a aba Coins (UTXO). Selecione todas as pequenas entradas suspeitas e marque com a tag "DUST - DO NOT SPEND".
  • Saída via CoinJoin: Passe os fundos limpos restantes por um ciclo de mixagem (por exemplo, Samourai Whirlpool). Isso cria uma quebra no histórico de propriedade.
  • Isolamento do troco (Change): O erro mais comum é esquecer do troco. Se você enviar o saldo principal, mas o troco dessa transação voltar para um endereço ligado ao dust, o vínculo permanece. Sempre use a configuração Manual Change Output.
  • “Queimar” o dust: A única forma segura de se livrar do dust, se não quiser mantê-lo, é enviá-lo para um endereço de queima (burn address), por exemplo: 1CounterpartyXXXXXXXXXXXXXXXUWLpS, mas faça isso em uma transação separada, usando estritamente apenas esse UTXO e nada mais.

Ataques de dusting na Lightning Network (LN)

Esta é uma área pouco conhecida. Na LN, os ataques funcionam de forma diferente:

  • Probe attacks: O atacante envia micropagamentos por canais que certamente irão falhar (hash inválido).
  • Objetivo: Descobrir os saldos de liquidez em canais específicos e mapear quem interage com quem e em quais valores fora da blockchain principal. Isso é “dust” no nível de roteamento.

Checklist de higiene profissional

Tipo de ameaçaMétodo de proteção
UTXO DustCoin Control (congelar pequenas entradas)
Address PoisoningVerificar manualmente cada caractere do endereço (não copiar do histórico)
ERC-20 SpamNunca aprovar tokens desconhecidos
IP LinkingUsar seu próprio nó via Tor

Dica útil de segurança:

Se você vir tokens na sua carteira que não comprou (por exemplo, VOTING_TOKEN ou FREE_AIRDROP), não tente vendê-los nem transferi-los. Em algumas blockchains, só o fato de interagir com um smart contract malicioso pode acionar um script que “drena” seu saldo principal (gas drainers).

Agora vamos para a parte mais avançada: como os ataques de dust são usados em conjunto com OSINT (inteligência de fontes abertas) e como as exchanges modernas participam desse processo, às vezes sem nem perceber.

Dust como “Sinalizador” em investigações OSINT

Agências de inteligência e rastreadores profissionais (como Chainalysis) usam dust não só para vincular endereços, mas também para marcação cronológica de tempo.

Método do “Ping Ativo”

Imagine que um analista suspeita que um grupo de endereços pertence à mesma pessoa, mas não há ligação direta na blockchain.

  • Eles enviam dust para o endereço A às 12:00 e para o endereço B às 12:05.
  • Se às 14:00 esses dois inputs (UTXO) forem consolidados em uma única transação de saída, o analista obtém confirmação: ambas as chaves privadas estão no mesmo software (carteira), configurado para coletar inputs automaticamente.

Ataques de Dust e Endereços de Troco (Change Addresses)

Esse é um ponto crítico de vulnerabilidade. A maioria das carteiras modernas usa o padrão BIP44/BIP84, gerando um novo endereço para cada troco.

  • Armadilha: Se um dos seus endereços antigos recebeu dust e você não percebeu, a carteira pode “puxar” esse dust silenciosamente na próxima transação para compor o valor.
  • Resultado: Seu novo troco vai para um novo endereço, mas esse endereço agora fica permanentemente ligado ao histórico do input de dust. Todo o seu saldo “novo” fica marcado.

Detalhe pouco conhecido: Dust nas redes Monero (XMR) e Zcash (ZEC)

Muita gente acha que moedas de privacidade são imunes. Não é bem assim:

  • Zcash (endereços T): Se você usa endereços transparentes (T), o ataque de dust funciona da mesma forma que no Bitcoin.
  • Monero: Graças às assinaturas em anel (Ring Signatures), um ataque de dust direto não é possível. No entanto, existe o conceito de “Inevitability Attack” — quando um atacante inunda a rede com microtransações para “contaminar” os conjuntos de saídas que outros usuários escolhem para suas assinaturas em anel, reduzindo o conjunto de suspeitos por eliminação.

Como funcionam os “Gateways Fiat” (Exchanges)

Exchanges (Binance, OKX, Coinbase) têm seus próprios sistemas de detecção de dust.

  • Se você fizer um depósito que contenha “dust” vindo de um endereço de hacker conhecido ou de um mercado da darknet, sua conta será marcada como High Risk.
  • Mesmo que o valor do dust seja de apenas 10 centavos, a exchange pode bloquear o saque de todo o seu depósito até que a origem dos fundos seja esclarecida (verificação KYC/AML).

Dica: Antes de enviar um valor alto para uma exchange, sempre verifique a aba UTXO na sua carteira. Se houver pequenas transações suspeitas, não as utilize ao enviar para uma plataforma com KYC.

Abordagem de Engenharia: Script de Análise em Lote (Batch Analysis)

Se você tem centenas de endereços, verificar manualmente não é viável. Profissionais usam requisições de API para indexadores de blockchain. Aqui vai um exemplo de lógica em JavaScript (Node.js) para verificar a presença de dust via API da Blockstream:

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // Limite de 1000 satoshis
            console.warn(`[!] ATENÇÃO: Dust detectado no endereço ${address}!`);
            console.log(`TXID: ${utxo.txid}, Valor: ${utxo.value} sat`);
        }
    });
}

Protocolo Final de Segurança (Anti-Dust Protocol)

  • Isolamento: Mantenha endereços “públicos” (para doações ou pagamentos) separados do armazenamento “frio”. Nunca transfira fundos diretamente entre eles.
  • Rotulagem: Em carteiras como Sparrow, sempre rotule cada transação. Se você vir uma transação sem seu rótulo — é dust.
  • Limite mínimo: Configure o parâmetro dustrelayfee nas configurações da carteira (se estiver usando Bitcoin Core) para ignorar transações muito pequenas no nível do nó.
  • Carteiras de Hardware: Tenha cuidado com Ledger/Trezor. Os aplicativos padrão (Ledger Live) geralmente não possuem a função Coin Control “de fábrica” em uma interface simples, o que torna os usuários alvos fáceis para vinculação automática de endereços. O ideal é conectar a carteira de hardware a interfaces como Electrum ou Specter.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Deixe seu parecer

O seu endereço de e-mail não será publicado. Campos obrigatórios estão marcados *

Recomendado para você

Backdoors em Smart Contracts: Riscos de Upgradeability

Backdoors em Smart Contracts: Riscos de Upgradeability
5 Erros do ChatGPT ao Configurar Nodes Anônimos

5 Erros do ChatGPT ao Configurar Nodes Anônimos
Passkeys vs. Seed Phrases: Cripto mais segura que bancos

Passkeys vs. Seed Phrases: Cripto mais segura que bancos
EXMON Academy | Blockchain, trading & segurança EXMON Academy | Blockchain, trading & segurança

A verdadeira liberdade começa com segurança pessoal e anonimato. Criptomoeda: sua arma contra o controle financeiro.

Tag Clouds

#trading #security #anonimato #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.