Aunque no es intrínsecamente peligroso, el envío de pequeñas cantidades de "criptopolvo" a las carteras de las personas puede utilizarse para estafar, rastrear e incluso hacer publicidad.
Cada vez que se vende una criptodivisa en un mercado de valores, existe la posibilidad de que se quede una pequeña cantidad, lo que puede resultar molesto. Este "criptopolvo" suele costar más de lo que vale, así que no tiene sentido intentar deshacerse de él. Sin embargo, fuera de un intercambio, el criptopolvo puede utilizarse como herramienta para el seguimiento de carteras, como técnica de publicidad o como preparación para un ataque de phishing.
Las criptodivisas pueden subdividirse en trozos muy pequeños. El éter de Ethereum (comúnmente llamado "ETH") tiene el "wei" como su unidad más pequeña, con 18 puntos decimales de un éter. Esto se debe a que el código del contrato inteligente de Ethereum no puede dividir las unidades en trozos más pequeños que 1, por lo que los desarrolladores optaron por hacer que cada número tuviera 18 dígitos para evitar errores de redondeo (significativos) durante las operaciones matemáticas, siendo el decimal principalmente cosmético. Al mismo tiempo, las cadenas de bloques son totalmente transparentes, proporcionando a cualquiera que tenga acceso a un explorador de bloques la capacidad de espiar las transacciones y las tenencias de criptomonedas de los demás, por pequeñas que sean.
A veces, los poseedores de criptomonedas envían cantidades minúsculas de tokens para "empolvar" las carteras de uno (o miles) de otros usuarios en lo que se denomina un "ataque de empolvamiento", un ejemplo del cual fue informado recientemente por Blockworks. Los ataques de dusting maliciosos pueden incluir tokens de suplantación de identidad diseñados para limpiar la cartera de su víctima si intenta eliminarlos, mientras que otras veces incluyen un mensaje adjunto a la transacción que promete una falsa estafa de "regalo de tokens" que roba el cripto de su víctima si cae en ella. Esta técnica en realidad comenzó como una forma de publicidad en Bitcoin y Litecoin, donde los pools de minería enviaban criptopolvo a miles de carteras con un mensaje en los datos de la transacción anunciando sus servicios, pero esta técnica pronto se apropió para crear enlaces maliciosos de ataques de phishing, y ahora nadie confía en los anuncios de criptopolvo.
Los ataques de dusting se utilizaron recientemente para la denegación de servicio
Recientemente, el servicio de mezclas de criptomonedas Tornado Cash fue sancionado. Aunque probablemente sonó como la idea correcta en ese momento, la intervención del gobierno se volvió contra los inocentes debido a la incapacidad de rechazar las transferencias de criptodivisas entrantes. Como Blockworks expuso en su momento, algunos trolls anónimos utilizaron Tornado Cash para realizar un ataque de polvo a cientos de víctimas, entre las que se encontraban celebridades de alto perfil, desarrolladores de blockchain y políticos, lo que provocó que sus carteras se incluyeran automáticamente en la lista negra de varias aplicaciones importantes de Finanzas Descentralizadas (DeFi), como el front-end de la aplicación de préstamos y empréstitos Aave y la aplicación de intercambio descentralizado Uniswap. Esta ha sido la primera y única vez que un ataque de dusting se ha utilizado con éxito para interrumpir ofensivamente el servicio para otros usuarios, y las cuentas de las víctimas fueron pronto desprotegidas por los desarrolladores de DeFi.
Aparte del incidente de Tornado Cash, los ataques de dusting no tienen efectos evidentes, pero siguen siendo siniestros. Se utilizan principalmente para saber qué monederos son propiedad de una misma persona con el fin de atacarla con ataques de phishing, o incluso chantaje. Las criptocarteras son "seudónimas", por lo que es posible utilizar un ataque de dusting combinado con el análisis de la cadena de bloques y la ingeniería social para averiguar quién es el propietario de un conjunto de criptocarteras, especialmente si posee un nombre de dominio NFT. Los hackers, los estafadores y los agentes gubernamentales por igual desempolvarán miles de carteras y luego observarán a dónde va el polvo con la esperanza de averiguar qué carteras están asociadas entre sí. Afortunadamente, la mejor manera de no ser víctima de un ataque de dusting es simplemente no gastar nunca el polvo, algo que muchas carteras personales tienen como característica de seguridad que debería estar siempre activada. Por supuesto, esta precaución puede quedar sin efecto si un usuario comparte NFTs en sus cuentas de redes sociales, lo que le señala como propietario de la(s) cartera(s) que posee(n) los NFTs.
Cuando surge el tema del dusting de carteras o de los ataques de dusting suele ser como una técnica de vigilancia para "desanonimizar" la cartera de alguien, a menudo para preparar el lanzamiento de un ataque de phishing, pero a veces para discernir una identidad del mundo real y hacer cosas mucho peores. Aunque no es directamente inofensivo, el dusting hoy en día casi siempre se hace con una intención siniestra, y la mayoría de los usuarios nunca sabrán que fueron desempolvados, por lo que ayuda a dejar siempre polvo de criptodivisas después de cada transferencia.
