Dusting Attack Nedir? Kripto Cüzdan Kimliği Nasıl İfşa Edilir?

Bu, kriptoanalizin en sinsi tekniklerinden birine derinlemesine bir bakıştır. Toz saldırısı, alışılmış anlamda bir hack değildir; blockchain seviyesinde bir sosyal mühendisliktir ve burada oltalama e-postaları yerine mikro işlemler kullanılır.

Toz Saldırısı: “Dijital Etiket” Mekaniği

Toz saldırısı, binlerce halka açık adrese çok küçük miktarlarda kripto para (yani “toz”) gönderilmesidir. “Toz”, transfer etmek için gereken işlem ücretinden daha az olan miktarı ifade eder; örneğin 1–500 satoshi.

İstihbarat servisleri ve Chainalysis bunun için neden ihtiyaç duyar?

Ana hedef anonimliğin kaldırılmasıdır (de-anonymization). Bitcoin, Litecoin ve Dogecoin gibi blockchainler, UTXO (Unspent Transaction Output) modeliyle çalışır. Bir işlem gönderdiğinizde, cüzdanınız “para üstü” ve küçük girişleri tek bir işlemde birleştirir.

Eğer bir sonraki ödemenizde gelen tozu yanlışlıkla kullanırsanız, analiz yazılımı (örneğin Crystal veya Elliptic) tüm adreslerinizi anında tek bir kümeye bağlar.

Saldırının Anatomisi: İşlemden Fiat Geçişine

Tohumlama (Seeding): Saldırgan (fon veya devlet kurumu) blockchain’de bulunan 10.000 adrese 100 satoshi gönderir.
Bekleme (Waiting): Kullanıcı cüzdanında bir “hediye” görür. Çoğu deneyimsiz kullanıcı +$0,01 bakiyeyi görmezden gelir.
Bağlama (Linking): 1 BTC’yi bir borsaya çekmeye karar verirsiniz. Cüzdanınız otomatik olarak 0,99 BTC’nizi ve o 100 satoshi “tozu” toplar ve miktarı veya ücreti karşılar.
Tanımlama (Doxxing): Toz ana fonlarınızla karıştığında, analist şunu görür: “Adresler A, B ve C aynı kişiye ait.” Bu adreslerden biri KYC gerektiren bir borsayla etkileşime girdiyse, anonimlik kaybolur.

Pratik Analiz: Kodda Nasıl Görünür

Eğer bir geliştiriciyseniz veya konsol araçları kullanıyorsanız, UTXO’larınızı analiz ederek tozu tespit edebilirsiniz. İşte Python/Web3 ile şüpheli işlemleri programatik olarak filtreleme örneği.

Python

# Şüpheli girişleri (UTXO) filtreleme örneği
MIN_SAFE_THRESHOLD = 546  # Bitcoin için toz limiti
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"Dikkat! Şüpheli UTXO tespit edildi: {tx['txid']} - {tx['value']} satoshi")
    return safe_utxos

Az bilinen bir gerçek: “Akıllı Toz” ve Akıllı Sözleşmeler

Ethereum (ERC-20) gibi ağlarda, bu saldırılar evrimleşti. Size “ücretsiz” bir token (ör. Fake_USDT) gönderilir. Token açıklamasında veya kodunda bir URL bulunur. Bu tokeni bir DEX’te takas etmeye çalıştığınızda, akıllı sözleşme onay (Approve) isteyebilir, bu da saldırgana gerçek varlıklarınıza erişim sağlar veya token meta verisinden bağlantıya tıkladığınızda sadece IP’nizi kaydeder.

Savunma Stratejileri: Etiketlenmemek İçin

1. Coin Control (Ana Silah)

Coin Control özelliğine sahip cüzdanlar kullanın (Bitcoin Core, Electrum, Samourai, Sparrow).

Ne yapmalı: UTXO listenizde şüpheli işlemi bulun, sağ tıklayın ve "Freeze" veya "Do not spend" seçin. Cüzdanınız bu toza asla dokunmaz.

2. Mikserler ve CoinJoin Kullanımı

Whirlpool (Samourai) veya WabiSabi (Wasabi) gibi teknolojiler fonlarınızı küçük parçalara böler ve diğer katılımcılarla karıştırır, böylece toz saldırısı işe yaramaz çünkü girişler arasındaki bağlantılar bilerek kesilir.

3. Adres Rotasyonu

Aynı adresi iki kez asla kullanmayın. Modern HD cüzdanlar bunu otomatik yapar, ancak unutmayın: tüm adresleri tek bir işlemde birleştirirseniz, HD yapısı sizi kurtaramaz.

Toz Saldırısı “Fonlar” için Bir Araç Olarak

Büyük kurumsal oyuncular tozu para çalmak için değil, rakipleri izlemek için kullanır.

Senaryo: Fon “A”, büyük bir balinanın cüzdanlarını işaretler. Balina fonları hareket ettirdiğinde (toz dahil), fon potansiyel kar alımı veya piyasa çöküşü sinyali alır ve bu, işlemi daha erken girmelerini (front-running) sağlar.

Eğer ilk bölüm temel konuları kapsıyorsa, burada ileri düzey analiz ve profesyonellerin savunma ve saldırı için kullandığı yöntemleri ele alacağız.

Gelişmiş Deanonimleştirme: “Adres Zehirleme” (Address Poisoning) Yöntemi

Bu, Ethereum (EVM), TRON ve Polygon ağları için geçerli olan modern ve son derece tehlikeli bir dusting saldırısı varyasyonudur.

Saldırının Mekaniği:

Benzer Adres Oluşturma: Bir hacker veya analist, ilk 4–6 ve son 4–6 karakteri sık kullandığınız bir karşı tarafın (örneğin bir borsa cüzdanı) adresiyle eşleşen bir adres oluşturur.
Sıfır Değer Transferi: Bu “benzer” adresten size 0 veya 0,0001 token değerinde bir işlem gönderilir.
Tuzağa Düşme: Bir sonraki kez karşı tarafa para göndermek istediğinizde, alışkanlıkla cüzdan arayüzünüzdeki (MetaMask, Trust Wallet) son işlemler geçmişinden adresi kopyalayabilirsiniz.
Sonuç: Kendi varlıklarınızı saldırganın “dust” cüzdanına gönderirsiniz.

Önemli Nokta: Akıllı sözleşmeli ağlarda “dust”, sadece küçük bir miktar olmayabilir; transfer fonksiyonunun çağrılması bile dust olarak sayılabilir.

Kurumlar “Dust”u IP ile Eşleştirmek İçin Nasıl Kullanıyor

Çok az kişi, dusting saldırılarının ağ düğümlerinin (nodes) izlenmesiyle birleştirilebileceğini biliyor.

Cüzdanınız “etiketli” bir işlemi yayınladığında (broadcast), analiz şirketleri (Chainalysis veya CipherTrace gibi) bu işlemin mempool’da göründüğü zamanı aktif düğümlerin IP adresleriyle eşleştirir. Cüzdan senkronizasyonu sırasında Tor veya kaliteli bir VPN kullanmıyorsanız, gerçek fiziksel adresiniz cüzdan kümeleriyle hatta servis sağlayıcı seviyesinde ilişkilendirilebilir.

Teknik Rehber: “Kirli” Cüzdanı Temizleme

Dust tespit ettiyseniz ve zaten “topladıysanız” (ana fonlarla karıştırdıysanız), cüzdanınız tehlikeye girmiş (linked) kabul edilir. Gizliliği geri kazanmak için adımlar şunlardır:

UTXO Ayrımı: Sparrow veya Electrum gibi bir cüzdan kullanın. Coins (UTXO) sekmesine gidin. Tüm şüpheli küçük girişleri seçin ve "DUST - DO NOT SPEND" etiketiyle işaretleyin.
CoinJoin ile Çekim: Kalan temiz fonları bir karıştırma döngüsünden geçirin (örneğin Samourai Whirlpool). Bu sahiplik geçmişinde bir kopukluk yaratır.
Change İzolasyonu: En yaygın hata, “change”i unutmak. Ana bakiyeyi gönderirseniz ama bu işlemden gelen change, dust ile ilişkili bir adrese dönerse, bağlantı kalır. Her zaman Manual Change Output ayarını kullanın.
Dust’u “Yok Etme”: Dust’u saklamak istemiyorsanız, tek güvenli yol onu bir burn adresine göndermektir, örn.: 1CounterpartyXXXXXXXXXXXXXXXUWLpS, fakat bunu ayrı bir işlem olarak yapın ve yalnızca o tek UTXO’yu kullanın.

Lightning Network (LN) Üzerindeki Dust Saldırıları

Bu az bilinen bir alandır. LN’de saldırılar farklı şekilde işler:

Probe Saldırıları: Saldırgan, başarısız olması garanti olan kanallardan mikro-ödemeler gönderir (geçersiz hash).
Amaç: Belirli kanallardaki likidite bakiyelerini öğrenmek ve ana blockchain dışında kimin kimle ve hangi miktarda etkileşimde olduğunu haritalamaktır. Bu, yönlendirme seviyesinde “dust”tur.

Profesyonel Hijyen Kontrol Listesi

Tehdit Türü	Koruma Yöntemi
UTXO Dust	Coin Control (Küçük girişleri dondurma)
Address Poisoning	Adresin her karakterini manuel olarak kontrol edin (geçmişten kopyalamayın)
ERC-20 Spam	Bilinmeyen token’ları asla onaylamayın
IP Linking	Kendi node’unuzu Tor üzerinden kullanın

Güvenlik için faydalı ipucu:

Eğer cüzdanınızda satın almadığınız token’lar görüyorsanız (ör. VOTING_TOKEN veya FREE_AIRDROP), bunları satmaya veya transfer etmeye çalışmayın. Bazı blockchainlerde, kötü amaçlı bir smart contract ile etkileşime girmek bile ana bakiyenizi boşaltan bir script’i tetikleyebilir (Gas Drainers).

En gelişmiş bölüme geçiyoruz: toz saldırılarının OSINT (açık kaynak istihbaratı) ile nasıl birlikte kullanıldığı ve modern borsaların bu sürece nasıl dahil olduğu, bazen bunu fark etmeden, anlatılacak.

OSINT Araştırmalarında “Deniz Feneri” olarak Toz

İstihbarat ajansları ve profesyonel takipçiler (Chainalysis gibi) tozu sadece adresleri bağlamak için değil, aynı zamanda kronolojik zaman damgalama için de kullanır.

“Aktif Ping” Yöntemi

Bir analistin, bir grup adresin tek bir kişiye ait olduğundan şüphelendiğini, ancak blok zincirinde doğrudan bir bağlantı olmadığını hayal edin.

12:00’de Adres A’ya ve 12:05’te Adres B’ye toz gönderirler.
Eğer 14:00’te bu iki giriş (UTXO) tek bir çıkış işlemi içinde birleştirilirse, analist onay alır: her iki özel anahtar aynı yazılımda (cüzdan) bulunuyor ve girişleri otomatik toplamak için yapılandırılmıştır.

Toz Saldırıları ve Değişim Adresleri (Change Addresses)

Bu kritik bir zayıf noktadır. Çoğu modern cüzdan, her değişim için BIP44/BIP84 standardını kullanarak yeni bir adres oluşturur.

Tuzağa düşme: Eğer eski adreslerinizden birine toz geldiyse ve bundan haberdar değilseniz, cüzdan bir sonraki harcamada bu tozu sessizce “çekebilir” ve işlem miktarını oluşturabilir.
Sonuç: Yeni değişim adresiniz yeni bir adrese gider, ancak bu adres artık toz giriş geçmişiyle kalıcı olarak ilişkilidir. Tüm “yeni” temiz bakiyeniz işaretlenmiş olur.

Az bilinen detay: Monero (XMR) ve Zcash (ZEC) ağlarında toz

Birçok kişi gizlilik coinlerinin bağışıklık kazandığını düşünür. Bu tamamen doğru değil:

Zcash (T-adresleri): Şeffaf (T) adresler kullanıyorsanız, toz saldırısı Bitcoin’deki gibi çalışır.
Monero: Ring imzaları sayesinde doğrudan toz saldırısı mümkün değildir. Ancak “Inevitability Attack” kavramı vardır—saldırgan, diğer kullanıcıların ring imzaları için seçtiği çıkış setlerini “zehirlemek” için ağı mikro işlemlerle doldurur ve böylece şüpheli havuzunu eleme yoluyla daraltır.

“Fiat Kapıları” (Borsalar) nasıl çalışır

Borsalar (Binance, OKX, Coinbase) kendi toz tespit sistemlerine sahiptir.

Eğer bilinen bir hacker adresi veya karanlık ağ marketinden gelen “toz” içeren bir depozito yatırırsanız, hesabınız High Risk olarak işaretlenir.
Toz miktarı sadece 10 sent olsa bile, borsa tüm depozitonuzun çekimini, fon kaynağı doğrulanana kadar (KYC/AML kontrolü) engelleyebilir.

İpucu: Büyük bir miktar göndermeden önce cüzdanınızdaki UTXO sekmesini kontrol edin. Eğer orada şüpheli küçük işlemler varsa, KYC platformuna gönderim için kullanmayın.

Mühendislik yaklaşımı: Toplu Analiz Scripti (Batch Analysis)

Eğer yüzlerce adresiniz varsa, manuel olarak kontrol etmek gerçekçi değildir. Profesyoneller blockchain indeksleyicilere API talepleri kullanır. İşte Blockstream API üzerinden toz kontrolü yapmak için JavaScript (Node.js) mantık örneği:

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // 1000 satoshi eşik değeri
            console.warn(`[!] UYARI: ${address} adresinde toz tespit edildi!`);
            console.log(`TXID: ${utxo.txid}, Miktar: ${utxo.value} sat`);
        }
    });
}

Nihai Güvenlik Protokolü (Anti-Dust Protocol)

İzolasyon: “Halka açık” adresleri (bağış veya ödemeler için) “soğuk” depolamalardan ayrı tutun. Fonları doğrudan aralarında aktarmayın.
Etiketleme: Sparrow gibi cüzdanlarda, her işlemi her zaman etiketleyin. Eğer etiketiniz olmadan bir işlem görüyorsanız—bu tozdur.
Minimum eşik: Cüzdan ayarlarında dustrelayfee parametresini ayarlayın (Bitcoin Core kullanıyorsanız) ve çok küçük işlemleri node seviyesinde görmezden gelin.
Donanım Cüzdanları: Ledger/Trezor ile dikkatli olun. Standart uygulamaları (Ledger Live) genellikle basit arayüzde Coin Control işlevine “kutudan çıkar çıkmaz” sahip değildir, bu kullanıcıları otomatik adres birleştirmeleri için kolay hedef haline getirir. Donanım cüzdanını Electrum veya Specter arayüzüne bağlamak daha iyidir.