总体描述
2023 年初夏,许多 Tron 区块链的用户开始收到来自陌生地址的微不足道的入账,而此类交易在网络中所占的比例开始达到一个可观的数值。TRX 和 USDT 资产是这类群发中最常见的。这类攻击本没有自己的名字,但由于在外部特征上与 BTC 网络中一种类似的「粉尘攻击」(dust attack)相似,便被称为「dust attacks(粉尘攻击)」。目前,在我们团队内部,这种攻击的工作代号是「头皮屑攻击」(dandruff attack),而那些微小的付款则被称为「头皮屑」(dandruff)。
「头皮屑攻击」是什么意思?
攻击者向那些近期进行过或收到过交易的地址发送多笔交易。然后,他等待着「头皮屑」的接收方误将攻击者的地址、而非其目标收款人的地址复制下来,并把资产发给他的那种情形。
我们已识别出这种攻击的 6 个世代。最先进的攻击网络,其效力超过了 3800%。
作为此类攻击的一部分,发送 TRX 代币的地址总数为 > 683 434 052 笔交易,而 USDT 代币为 > 85 304 707 笔交易。
对抗这类攻击是可能的!具体的方法和技术在研究章节中有所描述。
「头皮屑攻击」的实施机制
在这类攻击活跃发展的短暂阶段里(始于 2023 年夏),它从一份原始的群发名单,一路走到一个思虑周全、并配有极为有趣的目标分析方法的系统。截至目前,可以区分出「头皮屑攻击」的若干世代。
在这类攻击活跃发展的短暂阶段里(始于 2023 年夏),它从一份原始的群发名单,一路走到一个思虑周全、并配有极为有趣的目标分析方法的系统。截至目前,可以区分出「头皮屑攻击」的若干世代。第一代
第一代
- 群发名单会杂乱无章地发往所有近期使用 TRX 代币进行过交易的地址。
群发名单会杂乱无章地发往所有近期进行过交易的地址。群发使用 TRX(因为可以在不消耗 Energy 的情况下发送它,仅以 Bandwidth 为代价(收益性将在相应章节中更详细地讨论))。
该方案效率低下。
攻击者地址之一的示例:TGuuuq9asKwhGR2Zq21vQ1Nk4yFiTc8G3J

- 群发以杂乱无章的方式进行,使用 USDT 代币。
群发仍以杂乱无章的方式进行,但使用的是 USDT 代币。所转移资产的价值只有微小的差别(它仍保持在 0.01 美元或更低);由于用任何代币进行一笔交易所消耗的 Energy,此类群发的成本会增加(TRX 交易只使用每日可再生的 Bandwidth,而任何代币的转移都会同时消耗 Bandwidth 和 Energy。后者要么通过质押 TRX、要么通过销毁 TRX 来获得)。
攻击者地址之一的示例:TEdi3CGdKewc1ZRen3SWkGf3YecoVT457j

第三代
- 群发以杂乱无章的方式进行,使用 USDT 代币,并加入了对攻击目标的筛选。
它是第二代的发展,但加入了一些筛选攻击目标的方式。
此类筛选包括:
地址上的余额;
目标交易的频率,
交易时间,等等。
攻击网络的每个开发者都会自行酌定制定此类限制。在这一阶段,工作方案因引入分析算法而变得复杂,并将需要向网络节点发出更多请求,而这反过来又可能为分析攻击者提供技术上的可能性。
第四代
- 挑选那些结尾与被攻击地址的交易对手相似的地址。
攻击者网络的这种运作算法,已经显著提高了攻击的效力,但需要攻击网络模块有更高的执行水平。这一代攻击会挑选那些结尾与被攻击地址的交易对手相似的地址。
它利用匹配加密地址结尾的机制,生成一个在末尾字符上具有最大相似度的地址。这显著提高了攻击成功的机会。这种攻击可以结合第三代中可用的各种分析方法。
与此同时,选定被攻击地址、并生成与目标交易对手地址相似的攻击者地址,使得有必要及时为攻击者地址补充资产和资源,以完成交易。这使得从质押向攻击网络供应 Energy 的机制变得不太适用。这一代进行攻击的大多数网络,通过销毁 TRX 来支付进行交易的手续费。
第五代
- 目标选择分析;生成与交易对手相似的地址;转移与交易对手所发送数额相近的资产。
攻击者网络的这种运作算法,已经显著提高了攻击的效力,但需要攻击网络模块有更高的执行水平。这一代攻击会挑选那些结尾与被攻击地址的交易对手相似的地址。
它利用匹配加密地址结尾的机制,生成一个在末尾字符上具有最大相似度的地址。这显著提高了攻击成功的机会。这种攻击可以结合第三代中可用的各种分析方法。
与此同时,选定被攻击地址、并生成与目标交易对手地址相似的攻击者地址,使得有必要及时为攻击者地址补充资产和资源,以完成交易。这使得从质押向攻击网络供应 Energy 的机制变得不太适用。这一代进行攻击的大多数网络,通过销毁 TRX 来支付进行交易的手续费。
第五代
- 目标选择分析;生成与交易对手相似的地址;转移与交易对手所发送数额相近的资产。
由于结合了几种机制,它是效力最高的:
目标选择分析;
生成与交易对手相似的地址
作为测试付款,转移与交易对手所发送数额相近的资产。
这一代的特点,是最具选择性的攻击,并试图在地址之间复刻一笔测试付款。在分析过程中,我们识别出在满足若干条件的情况下发送最多 2 USDT 重复金额的案例,这些条件如:双方此前不存在进行过的交易 + 目标余额上存在一笔可观的金额 + 发送一笔不超过 2 USDT 的测试付款。
优势:
攻击效力极高。
第六代
- 把攻击者的地址加入到受害者此前「发送」过资产的对象名单中。
自 2023 年 11 月中旬以来,出现了从受害者地址向攻击者地址发送 0 USDT 的攻击。这类攻击之所以可能,是因为在 Tron 网络上,从任何地址发送 0 资产不受任何限制,即便没有发送地址的私钥也是如此。
这种攻击的逻辑之不同在于:攻击者把自己的地址,不是插入到向受害者地址发送的发送方名单里,而是插入到受害者此前发送过资产的对象名单里。攻击的这一特性使它更不易被察觉、对攻击者而言也更为有效。它可以与生成与被攻击交易对手相似的加密货币地址的机制相结合,从而显著提高攻击的效力。
「头皮屑攻击」的经济账
一次攻击的收益性,被定义为网络运营成本与来自受害者、流入攻击地址的资产收益之间的差额。
- 网络运营成本由以下几个部分组成:
- 攻击网络模块的开发;
- 攻击网络中每个地址的激活;
- 为发动攻击而向攻击地址转移资产、以及发送「头皮屑」的交易成本;
- 获取 Tron 网络活动数据的相关成本(外部数据提供商,或启动并维护你自己的节点)。
以一个具体网络为例的收益性
对攻击效力的分析,将以那个从地址 TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1 供应资产的攻击网络为例来考察。

TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1 这个地址向攻击网络的 6 万多个地址发送了 721,054 TRX 和 1,750 USDT,同时支付了 90,443 TRX 的手续费。在这个地址网络框架内所使用的加密资产总成本约为 46,000 美元。加上下列所列成本,用于启动该网络的资金大致为 50,000 — 55,000 美元。
作为所研究网络运作的结果,在从某个此类地址向被攻击地址发起交易之后,确认了向攻击网络地址的 153 笔入账。以这种方式收到的资金总额至少达到 1,941,484 USDT。
所研究网络的收益性超过了 3800%。
最有效的应对措施
基于对「头皮屑攻击」的分析,我们认为可以通过以下方式降低此类攻击的风险:
- 加密货币钱包的应用开发者可以引入默认隐藏低于 1 美元交易的功能,这将把第一代、第四代和第六代攻击的效力降至几乎为零。
- 对向攻击网络供应 Energy 的质押地址管理者进行深入分析和去匿名化,将使这类攻击(对第二代和第三代而言)更加困难、在经济上无利可图。
- 对攻击地址网络上 TRX 收款来源的分析,将有助于对第一代、第四代和第六代攻击网络的管理者施加额外的压力。
- 基于一套自动的活动分析算法,在发送「头皮屑」之后、当攻击地址上收到超过某一数值的金额时,自动冻结其上的 Tether USDT 资产(此类算法已由我们的技术专家在数小时内实现),将使这类攻击丧失经济上的可行性。
- 研究向提供 Tron 网络交易信息的关键服务发出的请求日志,将使你(在攻击者不使用自己节点的情况下)能够识别出各世代攻击网络可能的管理者。
- 识别攻击算法的作者,是在调试阶段通过在测试网络中搜索类似攻击来进行的。许多攻击网络会在 Tron 测试网上进行测试,以便调试和调优。在 Tron 测试网上获取代币,只能通过 Discord 上的官方社区。此类攻击的一个例子,可以是这笔交易。
所使用的信息资源
https://tronscan.org/
https://developers.tron.network/docs/resource-model
https://tronstation.io/calculator
本研究由以下人员完成:
