Debido a que múltiples criptomonedas manejan protocolos abiertos y descentralizados, cualquiera puede unirse a la red y crear una “wallet” también conocida como “cartera digital” o “billetera digital” sin proveer información personal y esto es lo que hace a bitcoin un tanto “anónimo”, pero no al 100%.

Aunque no es fácil determinar la identidad de la persona detrás de cada dirección de bitcoin, todas las transacciones de bitcoin se almacenan públicamente en el block-chain y cualquiera puede observarlas. Esto clasifica a bitcoin como una criptomoneda pseudo-anónima o “pseudonymous” y por lo tanto es susceptible a un nuevo método de ataque para tratar de identificar al dueño de una cartera digital. Este método es denominado “dusting – attacks” que podría traducirse “ataques de polvillo”.

Los ataques de polvillo fueron creados como un método para analizar transacciones en el block-chain y asociarlas con usuarios específicos. Estos ataques buscan identificar al usuario final de la billetera digital enviando transacciones de “polvillo” a sus billeteras. Pero ¿qué es “polvillo”? El término polvillo se refiere a una pequeña transacción de criptomonedas; un monto tan pequeño que muchos de los usuarios no lo notarían en su saldo. Tomando a bitcoin como ejemplo, la unidad más pequeña divisible es 1 satoshi y 1 bitcoin es equivalente a 100 millones de satoshis así que podríamos usar el término “polvillo” para describir una cantidad entre 1 satoshi y unos pocos miles, digamos 2500 satoshis.

Aun cuando los ataques de polvillo fueron inicialmente realizados con bitcoin, la misma idea y técnicas son aplicables a otras criptomonedas que cuentan con un block-chain público de transacciones.

¿Cómo funciona un “dusting-attack”?
Los atacantes envían un monto insignificante de criptomonedas, tan pequeño que se le denomina “polvo”, a múltiples billeteras de forma aleatoria. Esperan que el dueño de la billetera realice operaciones con esos fondos y los mueva hacia un Exchange para cambiarlos o los envíe a otra billetera. De esa manera pueden “trazar” el movimiento de ese polvo y mediante análisis combinado de las diferentes direcciones pueden contar con una pista para tratar de determinar quién es el dueño de esas billeteras.
Una vez que tienen ese conocimiento se pueden realizar ataques subsecuentes a la víctima: phishing dirigido (spear-phishing), amenazas, ciber extorsión, secuestro, etc.

Airdrop Phising

Otra variante del dusting-attack está más enfocado a extraer los fondos de las billeteras que a descubrir la identidad de sus dueños. En esta variante se le envía un nuevo token o criptomoneda a la billetera de la víctima. La victima investiga en dónde se puede cambiar ese token por dólares o bitcoins y seguramente encontrará en internet que esa criptomoneda que recibió solo se puede cambiar en un sitio específico. Al entrar a ese Exchange, se le pedirá que asocie su billetera con el sitio. El usuario acepta con la intención de poder vender ese token o intercambiarlo por otro en el Exchange. Pero con los permisos que el usuario ha aceptado, en algunos segundos ya se ha vaciado completamente la wallet que conectó al Exchange o intermediario fraudulento.
Cuando ya esa nueva moneda o token se ha identificado como una estafa, el sitio ya no existe.

Maneras simples de mantener tu cripto-billetera segura:

• Si se reciben tokens no identificados en la billetera, no interactuar con ellos, no cambiarlos, venderlos o usarlos.
• No conectar su billetera a un Exchange para recolectar “Airdrops” o intercambiar tokens desconocidos.
• Evite publicar información que lo pueda identificar en conjunto con la dirección de su billetera digital.
• Genere una nueva dirección de billetera para cada transacción; de esta manera no se podrán asociar múltiples transacciones con una sola fuente.
• “Not your keys, not your crypto”, esto es: use un dispositivo físico fuera de línea tal como: Trezor o Ledger para guardar sus criptomonedas y cuente con una “cartera caliente” online en donde únicamente tenga el monto de transacciones diarias.
• Utilice criptomonedas que no cuenten con un block-chain público y estén creadas para privacidad, tales como MONERO.

Referencias:
https://academy.binance.com/en/articles/what-is-a-dusting-attack
https://www.cnet.com/personal-finance/someone-lost-millions-trying-to-claim-2k-crypto-airdrop/
https://www.malwarebytes.com/blog/news/2022/05/airdrop-phishing-what-is-it-and-how-is-my-cryptocurrency-at-risk
https://trezor.io/learn/a/what-is-a-hardware-wallet
https://www.nerdwallet.com/article/investing/hot-wallet-vs-cold-wallet