Tabla de Contenidos
Imagina que obres la teva app de criptomonedes i, de sobte, notes quelcom estrany. Hi ha una fracció minúscula d'una moneda que mai has comprat, o un token amb un nom peculiar que ha aparegut del no-res. La teva primera reacció podria ser de curiositat o fins i tot d'alegria: un regal de la xarxa? Un error al meu favor? Desafortunadament, el més probable és que la teva adreça pública estigui sent l'objectiu del que en el sector es coneix com un dusting attack.
Aquest tipus de maniobra no va orientada a buidar el teu compte immediatament, sinó a preparar el terreny per a un atac molt més subtil i perillós a llarg termini: trencar el teu anonimat. Els ciberdelinqüents envien petites quantitats de saldo per seguir el rastre dels teus moviments.
En aquest article explicarem a fons com funciona un dusting attack, per què posa en perill la teva privacitat i quins passos has de seguir per mantenir els teus fons segurs.
Què és el dust en criptomonedes?
En l'argot de les criptomonedes, el «dust» o, traduït al català, pols, fa referència a quantitats molt petites d'un actiu digital. Per exemple, a la xarxa de Bitcoin, un satoshi és la unitat més petita possible.
Si un compte rep uns pocs satoshis, aquest saldo es converteix en un residu digital estancat. No pots comprar res amb ell, ni tampoc surt a compte transferir-lo a una altra adreça perquè la taxa de gas o de transacció és superior al seu valor. En si mateix, el dust no és perillós. El problema apareix quan els ciberdelinqüents l'utilitzen amb finalitats fraudulentes.
Què és un dusting attack?
Un dusting attack consisteix en l'enviament massiu i automatitzat d'aquestes quantitats insignificants de criptomonedes a milers d'adreces d'interès de bitlletgres públiques.
A diferència d'un hackeig tradicional (que s'enfoca a robar una frase llavor), l'«atac dusting» és una espècie d'espionatge a la cadena de blocs. El seu objectiu és monitoritzar l'activitat dels usuaris. Per fer-ho, els actors maliciosos esperen que els propietaris dels comptes barregin aquests petits saldos amb el seu capital legítim en realitzar futures transaccions. Si ho fan, deixen un rastre que permet als estafadors estudiar el flux dels diners.
Com funciona pas a pas?
Aquest ciberatac és senzill, econòmic per a qui el llança i summament efectiu si la víctima no presta atenció. Es divideix en tres etapes:
- Selecció i enviament massiu. Els atacants exploren els blocs públics per identificar bitlletgres actives i envien la pols de criptomonedes a milers de comptes alhora.
- Monitorització de la xarxa. Els hackers vigilen la cadena de blocs, rastrejant si l'usuari mou els fons maliciosos.
- Anàlisi de dades i vinculació. El punt d'inflexió ocorre quan la víctima decideix fer una transferència quantiosa i la seva app selecciona automàticament aquesta pols rebuda per completar l'import necessari. En agrupar els fons, totes les adreces implicades queden vinculades entre si en el registre públic. A partir d'aquí, els delinqüents poden conèixer quin exchange utilitza la víctima, quins són els seus actius i fins i tot quina és la seva identitat real.
Per què no has de tocar certs tokens?
Si descobreixes un actiu desconegut en el teu saldo, la regla d'or és l'immobilitat absoluta. Per què insistim tant que no has de tocar aquests tokens? En interactuar-hi, ja sigui intentant canviar-los en un exchange o enviant-los a un altre compte, estàs confirmant que aquesta adreça pertany a un usuari actiu.
A partir d'aquell instant, t'exposes a patir phishing, correus extorsius, missatges fraudulents i fins i tot amenaces físiques. Els hackers no dubten a fer servir les tàctiques més agressives per dur a terme el seu pla.
Exemples reals en l'ecosistema cripto
Aquest tipus d'atac és una realitat constant amb què conviuen els usuaris de criptomonedes des de fa anys. Aquí sota recollim alguns exemples.
Dusting attacks a Bitcoin
La xarxa de Bitcoin va ser un dels primers escenaris on es va documentar un atac d'aquest estil. A causa del seu model de transaccions basat en UTXO, cada cop que realitzes un enviament, el teu bitlletgre ajunta diverses monedes rebudes anteriorment per pagar el total. És quelcom comparable a com tu juntes diverses monedes físiques de la teva butxaca per pagar un cafè.
Si durant un dusting attack t'envien un grapat de satoshis, i el teu bitlletgre els inclou automàticament en el teu proper pagament, estaràs unint de manera pública el teu saldo principal amb l'adreça de l'atacant. Això permet que qualsevol actor malintencionat que estudiï la cadena de blocs pugui reconstruir el teu historial financer.
Dusting amb tokens ERC-20 a Ethereum
Amb l'arribada d'Ethereum i els contractes intel·ligents, l'estratègia del dusting va evolucionar cap a quelcom molt més perillós.
Els usuaris solen rebre tokens ERC-20 desconeguts (i fraudulents). Quan l'usuari acudeix a un exchange per intentar vendre'ls, la transacció falla i mostra un missatge d'error que el redirigeix a una web. Aquesta pàgina està dissenyada per robar les claus privades de la seva cartera.
Augment d'atacs amb el creixement de DeFi
L'auge imparable de les finances descentralitzades ha multiplicat el nombre d'usuaris que operen contractes diàriament. En haver-hi un volum tan immens de transaccions, els estafadors troben el brou de cultiu perfecte per llançar més atacs.
Com protegir-te dels dusting attacks?
La millor defensa no requereix eines de programari sofisticades, sinó un canvi en els nostres hàbits de seguretat. Per frenar un possible atac, resulta fonamental aplicar les següents mesures de precaució.
No interactuar amb tokens sospitosos
La pauta defensiva més eficient per anul·lar l'atac és també la més simple: no facis res. Si veus un token que no recordes haver adquirit, ignora'l per complet. Deixa'l morir al fons del teu saldo.
En no moure'l, impedeixes que els analistes completin el seu estudi i la teva privacitat romandrà intacta. Moltes aplicacions actuals ja permeten ocultar visualment aquests actius sospitosos de la interfície perquè no t'estorbin a la vista. Així pots mantenir-los aïllats de la resta dels teus fons.
Evitar reutilitzar adreces
Si fas servir la mateixa adreça pública per rebre tots els teus pagaments, facilites que l'atac prosperi. Una pràctica financera saludable consisteix a emprar bitlletgres jeràrquico-deterministes (HD). Aquestes generen una adreça pública nova per a cada transacció que reps. D'aquesta manera, la teva activitat queda fragmentada i fa que correlacionar els teus fons sigui una tasca titànica.
No fer clic en enllaços desconeguts
Molts dels tokens dust que apareixen del no-res actuen com a esquers publicitaris que amaguen estafes. Sota cap concepte has de buscar el nom del token a Google, ni molt menys fer clic en els enllaços web que de vegades apareixen incrustats en les metadades de la transferència. La curiositat és el principal vector que explota qualsevol atac informàtic en aquest entorn.
Mantenir bones pràctiques de seguretat
Finalment, la seguretat s'ha d'entendre com un conjunt de capes. Utilitzar dispositius físics per custodiar les teves criptomonedas afegeix un nivell de protecció formidable. Així mateix, et recomanem tenir activada l'autenticació de doble factor (2FA) i no revelar les teves claus privades o frases de recuperació en cap plataforma online.
Conclusió
Els dusting attacks ens recorden la importància de protegir activament la nostra privacitat en l'ecosistema cripto. Encara que rebre petites quantitats de pols pugui semblar un fet inofensiu, la intenció de cada atac és despullar-te de l'anonimat per convertir-te en un objectiu vulnerable.
Les millors eines per defensar els teus fons i la teva identitat són mantenir una postura prudent, evitar la interacció amb actius desconeguts i adoptar pautes d'higiene digital. La cautela davant de qualsevol hackeig és, sens dubte, l'escut més resistent en l'entorn descentralitzat.
Avís legal: El contingut d'aquest article s'ofereix únicament amb finalitats educatius i informatius i no ha d'interpretar-se com a assessorament financer ni d'inversió. La interacció amb la tecnologia blockchain, els criptoactius i les aplicacions Web3 comporta riscos, inclòs el possible risc de pèrdua de fons. Venga recomana als lectors realitzar una recerca exhaustiva i comprendre aquests riscos abans d'interactuar amb criptoactius o tecnologies blockchain. Per a més informació, consulti els nostres Termes de servei.