最近、少額のビットコインを他人のアドレスに送るダスト攻撃というものが話題となっています。ダスト攻撃自体は全く新しい概念ではありませんが、今回の記事はダスト攻撃の概要と、最近のいくつかの事例、そしてユーザーが取るべき対策を解説します。
ダスト攻撃とは
ビットコインにおいてダストとは、送金する価値のないほど小さな金額のUTXOのことを言います。例えば、800サトシ(~9円)のビットコインUTXOを受け取ったとしても、これを送金するために必要なコストの割に合わないため、ダストとなってしまいます。(取引所内の残高で、最低取引数量に満たない資産が残ってしまったとき、それをダストと呼ぶのもここから来ています)
広義のダストに定義はありませんが、546サトシより小さい金額のトランザクションはビットコインノードによって”Dust Limit”スパムと見なされ送金を受け付けてもらえない可能性が高いです。
単体では送金するコストパフォーマンスが悪くても、カラードコインやRGBなどセカンドレイヤープロトコルのアセットの所有権と結びつけることでダストを活用することは可能です。(例えばOMNI-USDTの送金は、オンチェーンでは少額のUTXOとOP_RETURNデータで表現されていることが多いです。)
ダスト攻撃とは、ダストを他人のウォレットに送りつけることでプライバシーの毀損を狙う攻撃です。ダストを受け取った人が、送金時にダストを一緒に送った場合や、複数のダストが後にまとめられた場合など、アドレス同士の関係が明らかになってしまい、プライバシーが毀損されます。
ただし、ダスト攻撃の目的には諸説あり、個人的にはブロックチェーン解析で推測しうる情報を確認するのに使われるという説が濃厚だと思います。
ブロックチェーン解析のみでも確率的にアドレスとアドレスの関係を表現することができますが、それらのアドレスに対してダスト攻撃をすることで、実際に所有者が同一である確証(複数のダストをまとめる行為が確認されるなど)を得ることができる可能性があるためです。
このように、複数の攻撃ベクトルから得られた情報を組み合わせることで入手できる情報の質が向上してしまうので、一見無害そうなダスト攻撃でも、可能な限りプライバシーは守る対策はすべきと言えるでしょう。
ちなみに多くの場合、ダスト攻撃はDust Limitギリギリの546サトシではなく、1000サトシ~1万サトシなど手数料負けしないある程度の金額を送りつけることで、相手がその資金を使用する確率を上げようとします。
なので、Dust Attackという名称自体が誤りであり、Incentivized Address Reuse攻撃かForced Address Reuse攻撃と呼ぶべきという意見があります。
ところで、Chainalysisなどのブロックチェーン解析企業がダスト攻撃を行っているのではないか?という意見が多く見られますが、CoinDeskがChainalysisとCipherTraceに問い合わせたところ、二社ともダスト攻撃の使用を否定した上で、Chainalysis捜査部長のJustin Maile氏は「(当局が)犯罪資金の追跡に使用することはある」とし、取引所が盗難された資金を追跡するのに使うこともあると続けたそうです。
一方、CipherTrace CEOのDave Jevans氏は、ハッカーがフィッシングや恐喝の標的を探す戦略の一部として使用しているのではないか、という見解を示しました。
最近の事例
比較的最近のダスト攻撃の事例をいくつか列挙します。(※広義のダスト攻撃の話なので、プライバシーの毀損を狙ったものは一部です)
・今月上旬、BSVを使用する掲示板サイトのアドレスを、複数の宛先アドレスに分けて記述して、大量の一般アドレスを巻き込むダスト攻撃がありました。これに関しては、プライバシーへの攻撃というよりは広告効果を狙った単純なスパムと考えられます。2年ほど前にはBestMixerというミキシングサービスが同様のスパムを行いました。
このようなスパムは手数料が上昇すればコストパフォーマンスが悪くなり、減少すると考えられます。