Pages:
Author

Topic: DUST ATTACK: come avviene e come difendersi - page 2. (Read 406 times)

legendary
Activity: 2268
Merit: 16328
Fully fledged Merit Cycler - Golden Feather 22-23
Chiaramente attendo i vostri commenti!


Grazie: non lo conoscevo e devo dire che è molto interessante.
Per la serie: non si finisce mai di imparare....  Wink


Same here!
se vedo qualcosa di interessante lo studio un pò e lo condivido!

Quote
Non capisco però chi possa trarre beneficio da un attacco di questo tipo che alla fine mira a "scoprire" la reale identità del possessore di un wallet. Nell'articolo si dice che lo scopo sarebbe :
Quote
The ultimate goal is to identify the companies or owners of these wallets and execute further scams such as phishing attacks.

ovvero di riuscire a scoprire - che so - l'email del proprietario del wallet, con l'intenzione poi di tentare un phishing attack.
Mi sembra però costoso come tentativo: prima devi spendere (letteralmente) per fare il dust attack, poi una volta raccattati alcuni indirizzi email, fai il secondo tipo di attacco.
Probabilità di successo?  imho molto basse, e con costi iniziali invece non indifferenti.
Sbaglio?


mi vengono in mente due scenari:
  • Larga scala: sei un exchange, mandi dust a tanti wallet usati, ma con balance nullo, speri che qualcuno ti mandi qualcuno di questi dust attaccato ai coin di un'altro indirizzo. a quel punto, hai collegato quel vecchio indirizzo (Che tu non conoscevi) al tuo cliente. Et voilà, perso anonymity set sul vecchio indirizzo che magari tu utente avevi usato anni prima.
    A questo punto, chessò (modalità complotto ON) l'exchange è in combutta con qualche società di chainanalisys ed alla fine vende le informazioni al governo (che guarda caso ha più che finanziato i costi iniziali) per andare a stanare tutti i vecchi possessori di bitcoin. Fantascienza? Mah, basta vedere la storia di Coinbase/Neutrino che ha scatenato il movimento #deletecoinbase.
  • Piccola scala: con una scusa qualsiasi ti chiedo di generarmi un address (tipo per mandarti una mancia o donazione). Ti invio qualche satoshi, poi tu dopo qualche mese, o anno, te ne dimentichi e li consolidi con i tuoi bitcoin "veri". Ecco qui che io scopro che duesoldi ha 234.56 Bitcoin. Magari finisce qui, ma magari io intanto ti sono diventato amico, siamo diventati amici su Telegram, so che abiti a Grugliasco (TO) di nome ti chiami Giuseppe e tua moglie insegna. Mi presento quindi a casa tua con una chiave inglese da 5$.


    https://xkcd.com/538/

     
legendary
Activity: 2562
Merit: 2640
Chiaramente attendo i vostri commenti!


Grazie: non lo conoscevo e devo dire che è molto interessante.
Per la serie: non si finisce mai di imparare....  Wink

Non capisco però chi possa trarre beneficio da un attacco di questo tipo che alla fine mira a "scoprire" la reale identità del possessore di un wallet. Nell'articolo si dice che lo scopo sarebbe :
Quote
The ultimate goal is to identify the companies or owners of these wallets and execute further scams such as phishing attacks.

ovvero di riuscire a scoprire - che so - l'email del proprietario del wallet, con l'intenzione poi di tentare un phising attack.
Mi sembra però costoso come tentativo: prima devi spendere (letteralmente) per fare il dust attack, poi una volta raccattati alcuni indirizzi email, fai il secondo tipo di attacco.
Probabilità di successo?  imho molto basse, e con costi iniziali invece non indifferenti.
Sbaglio?


legendary
Activity: 2268
Merit: 16328
Fully fledged Merit Cycler - Golden Feather 22-23
Ciao a tutti,

nei giorni scorsi è uscita questa notizia (in inglese)

LITECOIN WALLETS HIT BY LARGE-SCALE DUSTING ATTACK, SO WHAT IS IT?

Di seguito riporto la traduzione di un paio di passaggi significativi:
Quote
Stanno emergendo delle analisi secondo le quali diversi portafogli Litecoin sono stati colpiti da un nuovo tipo di attacco informatico chiamato dust attack. Non ha interessato gli exchange LTC ma è qualcosa di cui i trader e i detentori di criptovalute dovrebbero essere consapevoli. Binance Academy ha offerto una spiegazione.

Quote
In breve, un dust attack si verifica quando i truffatori tentano di violare la privacy di una criptovaluta, in questo caso Litecoin, inviandone piccole quantità a portafogli privati. Gli attaccanti tentano quindi di tracciare l'attività transazionale di questi portafogli nel tentativo di scoprire l'identità della persona che li possiede.

Il termine "dust" (polvere) si riferisce alle minuscole frazioni di criptovalute che la maggior parte degli utenti ignora. Un paio di centinaia di satoshi possono essere definiti "dust" in quanto la somma è così piccola che la maggior parte delle persone non se ne accorgerebbe nemmeno. È anche molto diffusa sugli exchange di criptovalute in quanto costituiscono i resti di transazioni che rimangono nei portafogli e non possono più essere utilizzati o trasferiti.

Con il termine dust ci si riferisce quindi a quegli ammontari di crittovalute che non possono essere trasferiti singolarmente o perché il loro importo è inferiore alle transaction fees della blockchain, o perché inferiori al minimo trasferibile di un exchange, rimanendo quindi bloccate nel portafoglio dell'account presso un determinato exchange.


Qui potete trovare un video di Binance academy che spiega cosa sia un Dust Attack:
Cos'è un Dusting Attack?

Questa tecnica è usata anche su Bitcoin, quindi cercate di stare attenti quando ricevete dei Satoshi senza apparentemente

Perchè il dust attack è pericoloso? cosa serve mandare dei satoshi per tracciare le transazioni se le transazioni sono in realtà pubbliche?

Beh i casi possono essere molteplici:

  • L'attaccante manda dei satoshi su un indirizzo usato, con un balance positivo. Meccanismo curioso, in realtà l'attaccante non ottiene nessun vantaggio, visto che i movimenti dell'indirizzo potevano essere monitorati anche precedentemente. L'unico vantaggio potrebbe essere quello di "abituare" l'utente a ricevere fondi su un indirizzo, rendendolo quindi meno prudente in sede del vero attacco dust.
  • L'attaccante manda dei satoshi su un indirizzo usato, ma vuoto. Il ricevente quindi aggrega quei satoshi ad un nuovo indirizzo facendo un pagamento. A quel punto il vecchio indirizzo ed il nuovo sono "legati" e l'attaccante può, con metodi di chain analysis provare a risalire alla vostra identità, avendo però scoperto che avete il controllo anche del vecchio indirizzo.
  • L'attaccante mette in piedi un bitcoin faucet, dove sia possibile ottenere qualche satoshi a fronte della registrazione con una mail. A quel punto, se unite quei satoshi al vostro indirizzo principale, beh, l'attaccante ha dei dati di partenza in più per identificarvi (una mail, anche se finta fornisce molte informazioni, ad esempio IP di connessione).
  • Estremizzando: un exchange che vi offre 30$ per registrarvi, previo KYC, sta in pratica effettuando un dust attack. Solo che in quel caso, usando la società di chain analysis che ha appena comprato, può effettuare un tracking molto efficiente dei vostri UTXO. Vi pare uno scenario irrealizzabile? è già successo.
  • Estremizzando 2: un exchange (lo stesso del punto precedente) vi offre 80$ in shitcoins rispondendo a facili video e domande, previo KYC, sta in pratica effettuando un dust attack. Solo che in quel caso, usando la società di chain analysis che ha appena comprato, può effettuare un tracking molto efficiente dei vostri UTXO. Vi pare uno scenario irrealizzabile? Sta succedendo ora.


Come difendersi da un dust attack?
La morale è che i BTC "anonimi" e quelli "soggetti a KYC" non devono mai essere mischiati, pena la de-anonimizzazione di tutti i Bitcoin.

Facciamo l'esempio relativo al dust attack tramite degli airdrop di un exchange.
Vi regalano degli Stellar Lumens, a patto di vedere dei video.
Naturalmente a voi gli XLM non interessano, quindi una volta ottenuti li vendete immediatamente per BTC.
Siccome siete utenti evoluti di BTC, sapere che "not your keys not your Bitcoin", quindi prelevate i vostri BTC e li mettete nel vostro wallet.
Ve ne dimenticate.
Due mesi dopo, approfittando della mempool vuota, consolidate i vostri indirizzi in uno solo. e quindi mettete quei pochi satoshi assieme ai vostri 100 BTC comprati nel 2010.
Ebbene, ora la sagace società di chain analytics è in grado di capire che anche i 100 BTC sono vostri.
La società di chain analytics vende l'informazione al fisco, e voi siete fregati.
Oppure la vende ad una organizzazione criminale, e siete ancora più fregati.

Come difendersi:
Due consigli vengono immediatamente in mente:
  • Tenete assolutamente separati gli indirizzi "sottoposti a kyc" e quelli "anonimi", molti wallet permettono di contrassegnare con label diverse i diversi UTXO: usate questa opzione!
  • Se proprio dovete consolidare gli indirizzi, prima di farlo, fateli passare attraverso un coinjoin. Comunque avere un anonimity set non perfetto, ma almeno non avete un link ovvio con il vostro indirizzo.

Come al solito cercherò di aggiornare questo thread completandolo con informazioni ed esempi migliori man mano che si renderanno disponibili.
Chiaramente attendo i vostri commenti!
Pages:
Jump to: