Topic: «Attaque par saupoudrage» dans le réseau Litecoin (Read 316 times)

Ok merci Ashe, une fois de plus tu fais preuve de beaucoup de maitrise, un petit Merit pour te recompenser

Possible en théorie si tu as des litecoins sur ton ledger (je ne pense pas qu'ils envoient des fonds sur des adresses vides).

Si oui tu ne peux rien faire depuis ledger live, il faudrait que tu ouvres ton wallet depuis electrum pour avoir accès au coin control.

Si aucune transaction n'apparait sur ton ledger live c'est que tu n'as rien reçu.

Encore une fois, il faut arrêter de stresser pour rien

Je peux en avoir reçu sur mon Ledger ? Je dois faire un truc particulier ?

Je ne me suis pas sérieusement penché sur la question(si quelqu'un a des liens je suis preneur) mais j'avais lu que comme il fallait que chaque adresse signe ça créait des transactions plus grosses au final.

@Saint-Loup, pour les fees le nombre d'input est important, pas le nombre d'adresses.

5 input sur une adresse te coûtera la même chose que 5 inputs sur 5 adresses.

Chaque input va alourdir la transaction. Chaque adresse a le même nombre de caractères. Donc que ce soit la même ou une autre n'a aucune incidence.

Je ne suis pas vraiment d'accord, si c'est un wallet que tu n'as aucune raison de masquer, il y a des avantages à s'en servir pour des achats comme tu dis :
Premierement, tu peux facilement, en restant 100% safe, checker ta balance et les transactions de ton wallet a tout moment sur un explorateur blockchain.
Deuxiemement tu peux directement prouver que ce wallet t'appartient en signant un message depuis cette adresse.
Troisiemement tu peux facilement importer ton wallet dans n'importe quel software wallet en flashant un QR code comme le montre etc.etc. dans son tuto. Avec une seed tu dois retaper tous les mots à chaque fois et en plus ça te crée un wallet à part, avec sa propre balance.
Quatriemement tu peux tranquillement effacer a tout moment ton software wallet de ta machine sans te poser de question. Alors qu'avec un HD wallet(seed) il faut faire très attention à ne pas avoir importé de clés.
Cinquièmement, il parait que les fees sont généralement moins importantes lorsque tu fais une transaction avec une seule adresse en input que lorsqu'il y en a plusieurs.

Okay okay. Je pense que ca prend tout son sens.


Je pense que c'est la "master" private key cité dans l'example de Ashe que tu gardes sur un papier, le reste pas besoin.

-> cela ne t'empêche pas d'envoyer tous les fonds sur la même, mais cela n'a aucun intérêt

Je ne suis pas d'accord, si tu veux faire un cold wallet (sur papier), il est plus simple de n'avoir qu'une clé (public/privé).
Bien sûr uniquement dans le cas d'épargne à long terme, pas pour des achats, car dans ce cas là c'est effectivement inutile.

C'est pourtant expliqué.

Sur litecoin (ou bitcoin) ton wallet est en fait une master private key qui va générer une multitude de clé privées et publiques.

A chaque réception ton wallet va t'en proposer une nouvelle pour maintenir un certain anonymat (cela ne t'empêche pas d'envoyer tous les fonds sur la même, mais cela n'a aucun intérêt).

Admettons que tu as utilisé les adresses 1, 2, 3 et 4 de ce wallet.

Lorsque tu dépenses de l'argent, ton wallet va aller piocher dans tes différents input, selon le principe FIFO (first in, first out) ou de façon a utiliser le moins d'input possible.
Dans le premier cas si le solde de l'input le plus vieux est insuffisant, il va utiliser l'input suivant. Dans notre exemple il va donc utiliser des fonds de l'adresse 1 et 2 pour envoyer sur une adresse A.
On saura dès lors que les adresses 1 et 2 appartiennent vraisemblablement à un même wallet.

C'est ce genre de rassemblement que vise le dusting.
Admettons que tes 4 adresses se font duster, tu vas finir par mélanger des input, permettant de relier des adresses (ce qui est un but possible de l'attaquant. Information qu'il peut revendre à des institutions publiques de certains états, à des organismes de recherche etc.).

L'autre but peut être de faire chier le monde en faisant blacklister des adresses en dustant des fonds provenant d'un hack.
Si tu essayes d'utiliser les fonds du hack que tu as reçu par mégarde en utilisant cet input, tu peux avoir des soucis.

J'ai du mal a comprendre le principe... C'est pourtant possible de suivre les transactions en général, pourquoi envoyer des coins ?

J'ai déjà expliqué au dessus.

Il te suffit d'utiliser la fonction coin control de ton wallet.

Si tu as peur de faire une erreur tu migres simplement vers un nouveau wallet sans toucher au dust. Terminé. Ca te coutera juste des frais de transaction.

Vraiment pas rassurant çà.
Et comment faire alors pour contrer çà ?

Cela a bien un impact qui peut être dangereux pour toi.
En t'envoyant des Litecoins issu d'un hack par exemple, il y a un risque que tes prochaines transactions soient bloqués par l'organisme receveur, voir des risques de complication avec les autorités.

https://btcmanager.com/crypto-dusting-attack-sends-illegally-obtained-bitcoin-to-random-cryptocurrency-wallets/

Dépend du wallet. Avec litecoin-core tu peux activer le coin control (ou je sais plus le nom) et tu peux ignorer cet input.

Mais encore une fois, si tu ne "caches" pas de fond, et que tu n'utilises pas publiquement une de tes adresses tu ne crains rien.

Pour moi l'idée c'est plutôt d'identifier de nombreuses adresses qui appartiendraient à des grands fonds/sociétés/whales.

Aucun impact sur nous autres.

Si tu fais une transaction d'un montant superieur à ce qui est contenu dans une seule adresse, le wallet va bien être obligé d'aller chercher les autres adresses de ton portefeuille contenant des fonds pour les joindre, non?
Donc je pense que c'est surtout comme ça que l'attaque se propage.

Le seul risque que tu cours c'est si tu réunis tes inputs. Chose pas très utile dans la mesure où ce faire risque de te couter plus cher que le saupoudrage que tu as reçu.

Dans tous les cas non, tu ne cours pas de risque. L'idée est simplement de lier éventuellement plusieurs de tes adresses entre elles. Si l'une d'elle est liée à ton identité, alors ils seraient capable de toutes les lier à ton identité.

Bref pas trop grave quand il ne s'agit pas de wallet remplis a hauteur de plusieurs millions

salut,

Tu trouvera pas mal de réponse à tes questions ici :

https://www.binance.vision/fr/security/what-is-a-dusting-attack

J'ai moi-même reçu quelques millièmes de LTC
Savez-vous ce que je dois faire ?
Mon compte est-il en danger ?