Description générale
Au début de l'été 2023, de nombreux utilisateurs de la blockchain Tron ont commencé à recevoir des versements insignifiants depuis des adresses inconnues, et la part de telles transactions dans le réseau a commencé à atteindre une valeur tangible. Les actifs TRX et USDT étaient les plus courants pour ces envois. Ce type d'attaque n'avait pas de nom propre, mais a été appelé « dust attacks » (attaques de poussière) en raison de la similitude, sur le plan des facteurs externes, avec un type comparable de « dust attack » sur le réseau BTC. Pour l'instant, le nom de travail de cette attaque au sein de notre équipe est « attaque de pellicules » (dandruff attack), et les paiements mineurs sont appelés « pellicules » (dandruff).
Que signifient les « attaques de pellicules » ?
L'attaquant envoie de multiples transactions vers des adresses ayant récemment effectué ou reçu des transactions. Puis il attend le cas où le destinataire des « pellicules » copie par erreur l'adresse de l'attaquant au lieu de celle de son destinataire cible et lui envoie les actifs.
Nous avons identifié 6 générations de cette attaque. L'efficacité des réseaux attaquants les plus avancés a dépassé 3800 %.
Le nombre total d'adresses envoyant le jeton TRX dans le cadre de cette attaque s'élevait à > 683 434 052 transactions, et le jeton USDT à > 85 304 707 transactions.
Combattre ce type d'attaque est possible ! Les méthodes et techniques spécifiques sont décrites dans la section de recherche.
Mécanisme de mise en œuvre des « attaques de pellicules »
Au cours de la courte phase de développement actif de ce type d'attaque (à partir de l'été 2023), elle a parcouru un long chemin, d'une liste d'envoi primitive à un système bien pensé doté de méthodes très intéressantes d'analytique des cibles. À ce jour, plusieurs générations d'« attaques de pellicules » peuvent être distinguées.
Au cours de la courte phase de développement actif de ce type d'attaque (à partir de l'été 2023), elle a parcouru un long chemin, d'une liste d'envoi primitive à un système bien pensé doté de méthodes très intéressantes d'analytique des cibles. À ce jour, plusieurs générations d'« attaques de pellicules » peuvent être distinguées. La première génération
La première génération
- La liste d'envoi va de façon chaotique vers toutes les adresses ayant récemment effectué des transactions en utilisant des jetons TRX.
La liste d'envoi va de façon chaotique vers toutes les adresses ayant récemment effectué des transactions. TRX est utilisé pour l'envoi (en raison de la possibilité de l'envoyer sans dépenser d'Energy, uniquement aux dépens du Bandwidth (la rentabilité sera abordée plus en détail dans la section correspondante)).
Faible efficacité du schéma.
Exemple d'une des adresses de l'attaquant : TGuuuq9asKwhGR2Zq21vQ1Nk4yFiTc8G3J

- L'envoi se poursuit de façon chaotique en utilisant des jetons USDT.
L'envoi se poursuit de façon chaotique, mais en utilisant des jetons USDT. Il n'y a qu'une petite différence dans la valeur des actifs transférés (elle reste de 0,01 $ ou moins) ; le coût d'un tel envoi augmente en raison de l'Energy consommée pour effectuer une transaction avec n'importe quel jeton (les transactions avec TRX n'utilisent que le Bandwidth renouvelable quotidiennement, et le transfert de n'importe quel jeton consommera à la fois du Bandwidth et de l'Energy. Cette dernière est obtenue soit par le staking de TRX, soit en le brûlant).
Exemple d'une des adresses de l'attaquant : TEdi3CGdKewc1ZRen3SWkGf3YecoVT457j

Troisième génération
- L'envoi se poursuit de façon chaotique, en utilisant des jetons USDT, et un filtrage des cibles d'attaque a été ajouté.
C'est un développement de la deuxième génération, mais quelques moyens de filtrer les cibles d'attaque ont été ajoutés.
De tels filtres incluent :
Le solde de l'adresse ;
La fréquence des transactions de la cible,
Le moment des transactions, etc.
Chaque développeur du réseau attaquant forme de telles restrictions à sa discrétion. À cette étape, il y a une complexification du schéma de fonctionnement par l'introduction d'algorithmes d'analytique, et cela nécessitera d'effectuer davantage de requêtes vers les nœuds du réseau, ce qui, à son tour, peut donner des capacités techniques pour analyser les attaquants.
Quatrième génération
- Sélectionne des adresses dont la terminaison est similaire à celle de la contrepartie de l'adresse attaquée.
Cet algorithme de fonctionnement du réseau de l'attaquant augmente déjà significativement l'efficacité de l'attaque, mais requiert un niveau d'exécution plus élevé des modules du réseau attaquant. Cette génération d'attaque sélectionne des adresses dont la terminaison est similaire à celle de la contrepartie de l'adresse attaquée.
En utilisant le mécanisme de correspondance de la fin de l'adresse crypto, elle génère une adresse ayant la similitude maximale dans les derniers caractères. Cela augmente considérablement les chances d'une attaque réussie. Cette attaque peut combiner diverses méthodes d'analytique disponibles dans la troisième génération.
En même temps, le choix de l'adresse attaquée et la génération de l'adresse de l'attaquant, similaire à l'adresse de la contrepartie de la cible, rend nécessaire de réapprovisionner promptement les adresses de l'attaquant en actifs et ressources pour finaliser la transaction. Cela rend peu applicable le mécanisme d'alimentation en Energy du réseau attaquant depuis le staking. La plupart des réseaux attaquant à cette génération paient les commissions pour effectuer les transactions en brûlant du TRX.
Cinquième génération
- Analyse de sélection des cibles ; Génération d'adresses similaires à la contrepartie ; Transfert d'un montant d'actifs similaire à celui envoyé par la contrepartie.
Cet algorithme de fonctionnement du réseau de l'attaquant augmente déjà significativement l'efficacité de l'attaque, mais requiert un niveau d'exécution plus élevé des modules du réseau attaquant. Cette génération d'attaque sélectionne des adresses dont la terminaison est similaire à celle de la contrepartie de l'adresse attaquée.
En utilisant le mécanisme de correspondance de la fin de l'adresse crypto, elle génère une adresse ayant la similitude maximale dans les derniers caractères. Cela augmente considérablement les chances d'une attaque réussie. Cette attaque peut combiner diverses méthodes d'analytique disponibles dans la troisième génération.
En même temps, le choix de l'adresse attaquée et la génération de l'adresse de l'attaquant, similaire à l'adresse de la contrepartie de la cible, rend nécessaire de réapprovisionner promptement les adresses de l'attaquant en actifs et ressources pour finaliser la transaction. Cela rend peu applicable le mécanisme d'alimentation en Energy du réseau attaquant depuis le staking. La plupart des réseaux attaquant à cette génération paient les commissions pour effectuer les transactions en brûlant du TRX.
Cinquième génération
- Analyse de sélection des cibles ; Génération d'adresses similaires à la contrepartie ; Transfert d'un montant d'actifs similaire à celui envoyé par la contrepartie.
C'est la plus efficace grâce à une combinaison de plusieurs mécanismes :
Analyse de sélection des cibles ;
Génération d'adresses similaires à la contrepartie
Transfert d'un montant d'actifs similaire à celui envoyé par la contrepartie en guise de paiement test.
Cette génération se caractérise par les attaques les plus sélectives, avec une tentative de dupliquer un paiement test entre adresses. Lors de l'analyse, nous avons identifié des cas d'envoi de montants dupliqués allant jusqu'à 2 USDT, sous réserve d'un certain nombre de conditions, telles que : l'absence de transactions précédemment effectuées entre les parties + la présence d'un montant significatif sur le solde de la cible + l'envoi d'un paiement test d'au maximum 2 USDT.
Avantages :
Efficacité de l'attaque extrêmement élevée.
Sixième génération
- Ajout de l'adresse de l'attaquant à la liste des personnes à qui la victime a « envoyé » des actifs auparavant.
Depuis la mi-novembre 2023, des attaques se sont produites où 0 USDT est envoyé depuis l'adresse de la victime vers l'adresse de l'attaquant. Ce type d'attaque est possible en raison de l'absence de toute restriction sur l'envoi de 0 actif depuis n'importe quelle adresse du réseau Tron, même en l'absence de clés privées de l'adresse d'envoi.
La logique de cette attaque diffère par le fait que l'attaquant insère son adresse non pas dans la liste des expéditeurs vers l'adresse de la victime, mais dans la liste des personnes à qui la victime a envoyé des actifs auparavant. Cette caractéristique de l'attaque la rend moins perceptible et plus efficace pour les attaquants. Elle peut être combinée avec des mécanismes de génération d'adresses de cryptomonnaies similaires aux contreparties attaquées, ce qui augmente considérablement l'efficacité de l'attaque.
L'économie des « attaques de pellicules »
La rentabilité d'une attaque est définie comme la différence entre les coûts de fonctionnement du réseau et les rentrées d'actifs des victimes vers les adresses attaquantes.
- Les coûts de fonctionnement du réseau se composent des éléments suivants :
- Le développement des modules du réseau attaquant ;
- L'activation de chaque adresse du réseau attaquant ;
- Les coûts de transaction pour transférer des actifs vers les adresses attaquantes en vue des attaques et pour envoyer des « pellicules » ;
- Les coûts associés à l'obtention de données sur l'activité du réseau Tron (fournisseurs de données externes ou lancement et maintenance de votre propre nœud).
Rentabilité à l'exemple d'un réseau distinct
L'analyse de l'efficacité de l'attaque sera envisagée sur le réseau attaquant où l'approvisionnement en actifs a été réalisé depuis l'adresse TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1.

L'adresse TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1 a envoyé 721 054 TRX et 1 750 USDT à plus de 60 000 adresses du réseau attaquant, tandis qu'une commission de 90 443 TRX était payée. Les coûts totaux des cryptoactifs utilisés dans le cadre de ce réseau d'adresses se sont élevés à environ 46 000 $. Combiné aux coûts énumérés ci-dessous, le montant approximatif des fonds dépensés pour lancer le réseau était de 50 000 – 55 000 $.
À la suite du fonctionnement du réseau étudié, 153 rentrées ont été établies vers les adresses du réseau attaquant après que la transaction ait été effectuée en direction de l'adresse attaquée depuis une telle adresse. Le montant total des fonds reçus de cette manière s'est élevé à au moins 1 941 484 USDT.
La rentabilité du réseau étudié a dépassé 3800 %.
Les mesures de contre-attaque les plus efficaces
À la suite de l'analyse des « attaques de pellicules », nous estimons possible de réduire le risque d'une telle attaque des manières suivantes :
- Les développeurs d'applications de portefeuilles de cryptomonnaies peuvent introduire la possibilité de masquer par défaut les transactions de moins de 1 $, ce qui réduira l'efficacité des attaques des première, quatrième et sixième générations à presque zéro.
- L'analyse approfondie et la désanonymisation des gestionnaires des adresses de staking fournissant de l'Energy aux réseaux attaquants rendront ce type d'attaque (pour les deuxième et troisième générations) plus difficile et économiquement non rentable.
- L'analyse des sources de réception de TRX sur les réseaux d'adresses attaquantes permettra d'exercer une pression supplémentaire sur les administrateurs des réseaux attaquants des première, quatrième et sixième générations.
- Le blocage automatique des actifs Tether USDT aux adresses attaquantes lorsque des montants supérieurs à une certaine valeur y sont reçus après l'envoi de « pellicules », sur la base d'un algorithme automatique d'analyse de l'activité (un tel algorithme a été mis en œuvre par nos spécialistes techniques en quelques heures), entraînera la perte de la viabilité économique de ce type d'attaque.
- L'étude des logs des requêtes vers les services clés fournissant des informations sur les transactions du réseau Tron vous permettra (si l'attaquant n'utilise pas son propre nœud) d'identifier les administrateurs possibles des réseaux attaquants de toutes les générations.
- L'identification des auteurs des algorithmes d'attaque est menée à l'étape du débogage en recherchant des attaques similaires sur le réseau de test. De nombreux réseaux attaquants sont testés sur les testnets de Tron pour le débogage et le réglage. Obtenir des jetons sur la testnet de Tron n'est possible qu'à travers la communauté officielle sur Discord. Un exemple d'une telle attaque peut être cette transaction.
Ressources d'information utilisées
https://tronscan.org/
https://developers.tron.network/docs/resource-model
https://tronstation.io/calculator
L'étude a été réalisée par :
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
