jakiro
Autor: Zack Pokorny, stellvertretender Forscher bei Galaxy Digital; Übersetzung: Bitcoin Vision xiaozou
Ein mysteriöser, leistungsstarker Operator kam vorbei3738Sendeadresse an39423An die Empfangsadresse gesendet41523StreifenOP_RETURNDiese Adressen enthalten insgesamt Nachrichten230Tausende Bitcoins. Was will diese Person?
1,Einführung
In diesem Sommer führte ein unbekannter Betreiber einen „Staubangriff“ auf Tausende von Bitcoin-Wallets durch, indem er winzige Mengen Bitcoin an diese Wallets schickte und kryptische Nachrichten in das OP_RETURN-Feld einbettete.Die Funktion OP_RETURN ähnelt dem Notizfeld eines Schecks, weist jedoch einen wesentlichen Unterschied auf: Ihr Inhalt kann in der Blockchain von jedem eingesehen werden, nicht nur vom Zahlungsempfänger.
Diese Nachrichten enthalten normalerweise eine Warnung in Großbuchstaben (z. B. „Rechtlicher Hinweis“) und einen Link zu einer Seite auf der Website von Salomon Brothers. Die Referenz ist hier nicht die legendäre Wall-Street-Investmentbank, bei der Lewis Ranieri in den 1980er Jahren Pionierarbeit bei der Verbriefung von Hypotheken leistete (das Institut ist heute Teil der Citigroup), sondern eine unbekannte Institution mit demselben Namen.Die Seite benachrichtigt Benutzer, die die Nachricht erhalten, dass ihre Brieftasche „verloren zu sein scheint oder verlassen wurde“, und behauptet, dass ein ungenannter Salomon-Kunde (irgendwie) „konstruktiven Besitz“ der Brieftasche erlangt hat.Das Legal Information Institute der Cornell Law School definiert konstruktiven Besitz als „den rechtmäßigen Besitz von etwas, das nicht unter der direkten physischen Kontrolle der Partei steht … Beispielsweise kann eine Person, die den Schlüssel zu einem Safe besitzt, konstruktiven Besitz über den Inhalt der Kiste haben.“
Wallet-Inhabern wurde eine 90-tägige Antwortfrist eingeräumt, um entweder den Besitz der privaten Schlüssel durch die Übertragung von Token in der Kette nachzuweisen oder Eigentumsnachweise an Salomon Brothers zu senden.Salomon Brothers warnte, dass diejenigen, die nicht fristgerecht Maßnahmen ergriffen, Gefahr liefen, ihre „gesetzlichen Rechte“ an ihren Geldbörsen zu verlieren.
Obwohl die Informationen öffentlich in der Kette veröffentlicht wurden, damit jeder sie sehen konnte, erlangten sie erst Anfang Juli große Aufmerksamkeit.Damals übertrug eine lange ruhende Wallet eines frühen Inhabers kurz nach Erhalt einer der Nachrichten 80.000 Bitcoins.Der Staubangriff geriet in der Folge in den Fokus von Debatten und Spekulationen.
Handelt es sich um eine Hackergruppe, die irgendwie an den privaten Schlüssel des Benutzers gelangt ist und nach einer Rechtfertigung für ihre Angriffe gesucht hat?Schlimmer noch: Hat jemand eine Quantenschwachstelle im Bitcoin-Protokoll entdeckt?Niemand wusste, was er davon halten sollte.
Um Licht in diese verschleierte Geschichte zu bringen, führte Galaxy Research eine detaillierte Analyse Tausender Transaktionen durch, die Salomon-Kunden im Laufe des Sommers gesendet hatten.Wie aus diesem Bericht hervorgeht, zielen die meisten Angriffe auf P2PKH-Adressen („Pay to Public Key Hash“) ab, die als weniger anfällig für Quantenangriffe gelten als andere Adresstypen.Salomon Brothers wiederum behauptete, sein Kunde sei „kein Hacker oder Phisher“.Daher glauben wir nicht, dass diese Informationen auf eine Schwachstelle in Bitcoin hinweisen oder dass private Schlüssel gestohlen wurden.
Auch wenn die Absichten der Salomon-Kunden unklar bleiben, zeigt unsere Analyse, dass die Kampagne, obwohl sie in einigen Aspekten grob war, über ein komplexes Labyrinth von Transaktionen in der Kette durchgeführt wurde.Angesichts der Größe dieser OP_RETURN-Kampagne, des Inhalts der Nachricht und der Benachrichtigung, auf die sie verlinkt ist, ist eine vernünftige Erklärung, dass die dahinterstehenden Personen möglicherweise versucht haben, nach Ablauf der Frist rechtliche Ansprüche gegen nicht antwortende Wallets gemäß den Gesetzen über nicht beanspruchtes Eigentum in einigen Gerichtsbarkeiten geltend zu machen.Doch selbst wenn er ein positives Gerichtsurteil erhält, bleibt unklar, wie Solomons Kunden diese angeblich verlassenen Wallets ohne Zugriff auf die privaten Schlüssel übernehmen werden.
2, Hauptergebnisse
Umfang und Struktur:
Insgesamt bestanden3.738Sendeadresse an39.423An die Empfangsadresse gesendet41.523OP_RETURN-Nachrichten.
Die Gesamtzahl der Adressen, die die Nachricht zum Zeitpunkt des Sendens der Nachricht empfangen habenhalten2.334.482,52Bitcoin.
Die Kampagne war in zwei Phasen unterteilt: eine erste Testnachricht (30. Juni), die weder einen Link noch eine Erwähnung von Salomon Brothers enthielt, und eine anschließende Phase (Juli bis August), in der Nachrichten mit Links zur Salomon-Website stapelweise verschickt wurden.
Zielbild:
Bei der überwiegenden Mehrheit der Zieladressen (98,82 % aller empfangenden Nachrichtenadressen) handelt es sich umTraditionP2PKHAdresse.
Die durchschnittliche angepasste Ruhezeit (d. h. die Dauer der Inaktivität) einer Adresse, die Benachrichtigungen erhält, beträgt2.171Himmel(ca. 5,95 Jahre).
98,1 %Die informierte AdresseVor dem Staubangriff, seit dem ersten Erhalt von TokenEs hat noch nie eine Überweisung stattgefunden.
Ausführungsprozess:
Die erste Nachricht im Zusammenhang mit Solomon enthielt eine falsche URL; Der Absender schickte später eine korrigierte Version.
Es gibt ein offensichtliches Zyklusmuster von „Testen→Batch-Versand→Überwachung→Anpassung“: Testtransaktionen werden vor jeder Runde des Hauptnachrichtenversands durchgeführt; Die gemeinsamen Merkmale der empfangenden Wallets und die Anzahl der in jedem Aktivitätsstapel gesendeten Nachrichten werden angepasst.
Rechtswegmöglichkeiten:
Die Methoden des Angriffs, wie das Angreifen von Adressen, die länger als einen bestimmten Zeitraum inaktiv waren, und das Festlegen einer Antwortfrist, stehen im Einklang mit den Anforderungen der Gesetze zu nicht beanspruchtem Eigentum in einigen US-Bundesstaaten.
Während Salomons Mandanten Fragen zur rechtlichen Durchführbarkeit und zum Umfang möglicher Ansprüche auf verlassenes Eigentum haben, sollte der Staubangriff nicht als reines Verhaltensexperiment abgetan werden.
3, Wer sind Salomon Brothers?
Salomon Brothers im ursprünglichen Sinne war eine Investmentbank, die 1910 von Arthur Solomon, Herbert Solomon und Percy Solomon gegründet wurde. Ursprünglich eine private Partnerschaft, ging das Unternehmen 1981 durch eine umgekehrte Fusion mit Fibo an die Börse.Salomon Brothers, ein Riese im US-Staatsanleihenhandel in seiner Blütezeit, ist vor allem für seine arrogante Darstellung in Michael Lewis‘ Buch „Liar’s Poker“ bekannt.
1997 erwarb die Travelers Group unter der Leitung von Sandy Weill Salomon Brothers, das damals hauptsächlich institutionelle Kunden betreute, und fusionierte es mit dem Einzelhandelsmaklergeschäft von Travelers, um Salomon Smith Barney zu gründen.Im folgenden Jahr fusionierte die Travelers Group mit der Citigroup zur Citigroup, die zum Prototyp eines modernen „Finanzsupermarkts“ wurde. Im April 2003 gab die Citigroup den Namen Salomon Smith Barney auf und organisierte ihr Investmentbanking-Geschäft in Citigroup Global Markets um.
Im Jahr 2022 machte sich eine Gruppe von Personen, die behaupteten, ehemalige Mitarbeiter von Salomon Brothers zu sein, darunter R. Adam Smith, daran, die Investmentbank mehrere Jahre nach dem Erwerb der Markenrechte an dem Namen neu zu starten.Der Kunde, der zwischen Juli und August dieses Jahres die OP_RETURN-Nachricht im Bitcoin-Netzwerk gesendet hat, scheint die wiedergeborene Salomon Brothers zu sein.
Die auf der offiziellen Website von Salomon Brothers veröffentlichten Unternehmens- und Teaminformationen sind äußerst begrenzt.Durch den Einsatz einer Kombination aus Website-Zeitmaschine, Webcrawler-Technologie und der Abfrage von industriellen und kommerziellen Registrierungsverzeichnissen sowie der Verfolgung der begrenzten Hinweise auf der Website haben wir jedoch weitere Details entdeckt, die nicht allein über die Zielseite ermittelt werden können.Zu diesen Erkenntnissen gehören Einblicke in Unternehmenseinheiten, deren Online-Präsenz und veröffentlichte Informationsmitteilungen.
Das Unternehmen ist eine in New York registrierte juristische Person. Es reichte seinen Antrag am 5. Juni 2020 ein und ist derzeit bei der Regierung des Staates New York als bestehend registriert.Die Hauptbüroadresse des Unternehmens befindet sich im 16. Stock der 733 Third Avenue in Manhattan (auf dieser Etage sind virtuelle Büromietdienste verfügbar). C. Daniels (vollständiger Name Christopher „Chip“ Daniels) wurde als CEO bestätigt.Auf seiner LinkedIn-Seite wird Chip Daniels als Vorstandsvorsitzender von State Stox aufgeführt, das offenbar mit Salomon Brothers verbunden ist.Es ist erwähnenswert, dass die State Stox-Website und die offizielle Website von Salomon Brothers einen ähnlichen Designstil haben und am Ende der Seite dieselbe Third Avenue-Adresse angezeigt wird.Aus öffentlichen Aufzeichnungen geht hervor, dass die beiden Unternehmen an einem Deal beteiligt waren, bei dem Salomon Brothers als alleiniger Underwriter fungierte, um ein Unternehmen namens Ownet an die Börse zu bringen.Seinem LinkedIn-Profil zufolge fungiert Daniels auch als Direktor von Ownet.
4, Salomon Brothers-Website und soziale Medien
Salomon Brothers führt Online-Werbeaktionen und -Aktivitäten über seine offizielle Website, sein LinkedIn-Konto und sein X-Plattform-Konto durch.
Offizielle Website des Unternehmens
Die Website wurde am 6. Januar 2023 registriert und enthält die Servicevorstellung des Unternehmens, den Entwicklungsverlauf und viele Details. Es ist erwähnenswert, dass das Unternehmen in Teilen der Website als „Salomon Encore“ bezeichnet wird.Dieser Name erscheint nur im Kleingedruckten der Website und erscheint nicht in der On-Chain-Benachrichtigung. Das Unternehmen gibt an, dass sein Leistungsumfang Investmentbanking/Mergers & Acquisitions, Vermögensverwaltung/Beratung, Immobilienfinanzierung und -forschung sowie andere Bereiche umfasst.Mit Ausnahme des Recherche-Buttons, der zur offiziellen Homepage zurückspringt, führen andere Kategorien zu neuen Webseiten.Es gibt viele ungültige Schaltflächen und abgelaufene Links auf der Website: Beispielsweise behauptet die Schaltfläche „Solomon Sisters“ auf der Homepage, „spezielle Dienstleistungen für Unternehmerinnen und Investoren“ anzubieten, die Schaltfläche „Details“ führt jedoch immer noch zur Hauptseite zurück;Der Link mit den Details zur Überbrückungsfinanzierung führt zur Seite des Domainnamen-Registrars GoDaddy.
Auf den ersten Blick sieht die Schaltfläche „Transaktionsfall“ auf der Investmentbanking-/M&A-Seite wie die bisherige Leistung des Unternehmens aus (einschließlich Finanzierungs- und M&A-Projekten), doch die aufgeführten Transaktionen liegen alle Jahrzehnte zurück, lange bevor das Unternehmen die Marke Salomon erhielt.Beispielsweise erwarb Home Shopping Network 1997 Anteile der Ticketmaster Group, Fred Meyer fusionierte 1999 mit Quality Food Centers, Northrop Grumman erwarb Logicon und andere Fusions- und Übernahmefälle; Loehmann’s ging 1964 und 1996 zweimal an die Börse, und Abercrombie & Fitch ging 1996 an die Börse und weitere Finanzierungsfälle führten dazu. Auf der Website heißt es eindeutig: „Es handelt sich hierbei nicht um Transaktionen, die von Salomon Encore und seinen verbundenen Unternehmen abgeschlossen wurden“, sondern um „Transaktionen, an denen mit Salomon Encore verbundenes Personal teilgenommen hat oder die bei früheren Institutionen stattgefunden haben.“Auf einer anderen Seite der Website heißt es: „Verweise auf Salomon Brothers auf dieser Website sind historische Verweise, sofern nicht anders angegeben.“
Contemporary Salomon Brothers unterstützte Ownet nicht nur bei der Börsennotierung, sondern gab auch keine weiteren beteiligten Transaktionen bekannt.Auf seinem LinkedIn-Konto wurden Beiträge zu Investitionseinladungen veröffentlicht, der konkrete Umfang der Beteiligung und der Transaktionsstatus sind jedoch unbekannt.
Aktualisierungen des Social-Media-Kontos des Unternehmens
Der X-Account (ehemals Twitter) des Unternehmens wurde seit Weihnachten 2023 nicht mehr aktualisiert und veröffentlicht hauptsächlich Forschungsberichte und Feiertagsgrüße. In der Einführung wird behauptet, dass Salomon Brothers „auf vielfachen Wunsch zurückkommt“ und es heißt, dass Salomon Brothers 1910 gegründet wurde und 2022 den Betrieb wieder aufnehmen wird.In dem Bericht wurde Ownet erwähnt, ein Social-Media-Netzwerk, dessen Muttergesellschaft bei einem Börsengang mit Salomon Brothers zusammengearbeitet hat.
Auch das LinkedIn-Konto ist nur spärlich aktualisiert, das Profil enthält jedoch einen Sprunglink zu „Salomonencore“, der auf die oben erwähnte Hauptwebsite „Salomonbros“ weiterleitet.Das Konto hatte ein Update zum Senden einer OP_RETURN-Nachricht an eine Bitcoin-Adresse veröffentlicht, das auf eine offizielle Pressemitteilung des Unternehmens verlinkte.
5, Salomon BrothersOP_RETURNWas sagt die Nachricht?
Salomon Brothers gab zwei öffentliche Erklärungen zu Nachrichten ab, die an mehr als 39.400 Bitcoin-Adressen gesendet wurden.Die erste ist eine Pressemitteilung vom 7. August (fast eine Woche nach Übermittlung der letzten Nachrichten), die zweite wurde auf der offiziellen Website von Salomon Brothers veröffentlicht. Auf der Homepage ist ein Laufbildschirm im TV-News-Marquee-Stil mit dem großgeschriebenen Titel „Solomon Client Takes Over Abandoned Wallet“ zu sehen.Wenn Sie darauf klicken, gelangen Sie zur „Erklärung zu Wallet-Benachrichtigungen“, in der es um die OP_RETURN-Nachrichten geht, die im Juli und August große Aufmerksamkeit erregten.
In der Erklärung hieß es, das Unternehmen vertrete einen Kunden, der einen Stapel digitaler Geldbörsen identifiziert habe, die scheinbar verlassen und angreifbar seien, und betonte, dass die Nachricht nicht direkt vom Unternehmen gesendet worden sei (die Identität des Kunden wurde nicht bekannt gegeben).In der Mitteilung wurde betont, dass der Kunde nicht versuche, „den Kryptomarkt negativ zu beeinflussen“, sondern „auf eigene Kosten“ Maßnahmen ergreife, um „die Risiken zu verringern, die von aufgegebenen Wallets ausgehen“.Benutzer, die noch über den privaten Schlüssel verfügen, müssen den Besitz durch die Initiierung kleiner Transaktionen nachweisen, während Benutzer, die den Zugriff verloren haben, den Kunden über ein dafür vorgesehenes Formular kontaktieren können.Auf der Seite heißt es außerdem: „Kunden beanspruchen keine Rechte und Interessen an Wallets, die nicht wirklich aufgegeben wurden.“Darüber hinaus gab Salomon Brothers bekannt, dass Kunden einen „Keyless Wallet Recovery Fund“ eingerichtet haben, der darauf abzielt, Vermögenswerte an Benutzer zurückzugeben, die den rechtmäßigen Besitz unzugänglicher Wallets nachweisen können. Der Fonds wird von Salomon Brothers verwaltet.Konkrete Einzelheiten werden in einigen Monaten bekannt gegeben.
Dies ist nicht das erste Mal, dass die Website Ankündigungen zu On-Chain-Neuigkeiten macht.Zwischen dem 9. Juli (eine Woche nach dem Versand der ersten Nachricht) und dem 5. August führte derselbe Link zu einer weiteren Ankündigung, die rückwirkend über das Internetarchiv verfügbar war.Die Ankündigung hat einen informelleren Ton, verwendet ein FAQ-Format anstelle einer rechtlichen Erklärung und definiert verlassene Wallets qualitativ und erläutert ihre Risiken und Kundenziele (im Einklang mit der aktuellen Ankündigung).Es ist erwähnenswert, dass diese frühe Ankündigung auf Medienspekulationen über von Kunden gesendete On-Chain-Nachrichten reagierte: „Wir bedauern, dass die von Salomon Brothers bereitgestellten Informationen bisher nicht in die Berichte aufgenommen wurden. In einigen unbegründeten Berichten wurde behauptet, dass Kunden „Hacker“ seien (was böswillige Absichten impliziert) oder Phishing-Angriffe auf bestimmte Wallets durchgeführt hätten – solche Anschuldigungen sind unwahr.“
In der Pressemitteilung vom 7. August wurde der Inhalt der Website-Ankündigung im Wesentlichen aus der Perspektive der Risiken verlassener Wallets und der Frage, wie Benutzer den Besitz nachweisen können, neu formuliert. Das wichtigste Detail ist die Aussage: „Geben Sie Wallet-Besitzern eine Reaktionsfrist von mindestens 90 Tagen.“Während die meisten Wallets seit Erhalt der Nachricht eine Reaktionszeit von mindestens 90 Tagen haben, erhielten 3.203 Adressen basierend auf den Transaktionszeitstempeln in der Kette nicht mehr als 88,4 Tage Benachrichtigung.Dieses Detail wird im Kapitel „Kettenanalyse“ erläutert. Diese Zeitverzögerung ist von entscheidender Bedeutung, wenn der Kunde nach Ablauf der Kündigungsfrist tatsächlich rechtliche Schritte einleiten möchte.
passierenOP_RETURNVerknüpfen Sie Inhalte zur Nachrichtenverteilung
Kunden von Salomon Brothers verteilten zwei Arten von Links mit unterschiedlichen Funktionen über die OP_RETURN-Nachricht. Keiner der Links kann direkt über die Homepage der Unternehmenswebsite aufgerufen werden.
Auf beiden Seiten heißt es, dass Kunden von Salomon Brothers Benachrichtigungen an eine Reihe von mutmaßlich „verlassenen“ Bitcoin-Wallet-Adressen gesendet haben, in denen sie Wallet-Besitzern raten, Salomon Brothers zu kontaktieren und/oder eine kryptografische Eigentumsüberprüfung über signierte Transaktionen durchzuführen.In der Mitteilung wird darauf hingewiesen, dass seine Adresse als aufgegeben gilt und der Kunde Abhilfemaßnahmen ergreifen kann, einschließlich der Geltendmachung des Eigentums an der betreffenden Währung durch „konstruktiven Besitz“.Es ist wichtig zu beachten, dass die beiden Mitteilungen zwar unterschiedliche Namen haben (mit der Bezeichnung „Rechtliche Mitteilung“ bzw. „Mitteilung des Eigentümers“) und unterschiedliche Fristen haben (die Frist für die Mitteilung des Eigentümers ist der 10. Oktober und die Frist für die rechtliche Mitteilung der 5. November), Inhalt und Wortlaut jedoch genau gleich sind.Bei diesem Vorgang wurden mehrere Links und unterschiedliche Benachrichtigungstitel verwendet, um höchstwahrscheinlich das 90-tägige Antwortfenster der Nachrichtenempfänger zu verfolgen (da die Benachrichtigungen über einen Zeitraum von einem Monat gesendet wurden).
Über ein Kontaktformular unten auf der Mitteilungsseite können Benutzer, die behaupten, über „Angaben und unterstützende Unterlagen zu einem gültigen Eigentumsanspruch“ zu verfügen, sich direkt an Salomon Brothers wenden und angeben, dass die Person oder ihr Vertreter dieses Formular verwenden darf, um anonym zu bleiben.Bitte beachten Sie, dass das Formular von den Absendern die Eingabe geografischer Standortinformationen (Land, Bundesland und Postleitzahl oder Provinz) verlangt und dass diese Felder mit einem Sternchen daneben gekennzeichnet sind, um anzuzeigen, dass sie erforderlich sind.
6,OP_RETURNWas ist das?
OP_RETURN ist ein Opcode (d. h. eine Anweisung) für Bitcoin Script, der es Benutzern ermöglicht, bis zu 80 Bytes beliebiger Daten in Transaktionen einzubetten.Obwohl die mit der OP_RETURN-Ausgabe verbundenen Mittel nicht ausgegeben werden können (und daher nicht zum „nicht ausgegebenen Transaktionsausgabesatz“ hinzugefügt werden), wird die Datennutzlast dauerhaft in der Blockchain aufgezeichnet und an das gesamte Netzwerk gesendet. Damit ist OP_RETURN ein „öffentliches Schwarzes Brett“ im Bitcoin-Netzwerk. Seine Einsatzmöglichkeiten umfassen eine Vielzahl von Szenarien wie homogene Token-Protokolle (wie Runes), Zeitstempel und sogar Spam-Nachrichten.Da OP_RETURN sowohl kostengünstige als auch dauerhafte Eigenschaften aufweist, wird es häufig für die Nachrichtenübermittlung in der Kette zwischen Adressen verwendet.
7, Salomon Kunden-Staubangriffsbereich
Die Kundenkampagne gliederte sich in zwei Phasen: In den ersten Nachrichten wurde Salomon Brothers nicht erwähnt, in den folgenden Nachrichten wurde auf die Website des Unternehmens verwiesen.Die Kettendaten weisen stark darauf hin, dass es sich bei den beiden sendenden Subjekten um dieselbe Entität handelt.Die ersten Meldungen können als Testlauf für Phase 2 betrachtet werden, die umfassender und gründlicher umgesetzt wird. Ein Großteil der Social-Media-Diskussion konzentrierte sich auf die zweite Reihe von Nachrichten (insbesondere die „Mitteilung an Eigentümer …“), die der Urwal erhielt, der Bitcoin Mitte Juli liquidierte. Nur wenige Beobachter bemerkten damals die ersten verlinkten Nachrichten und die nachfolgenden Nachrichten, die auf Solomons Website verwiesen. Der Mangel an Hintergrundinformationen könnte der Hauptgrund für weit verbreitete Panikinterpretationen sein (z. B. „Bitcoin wird durch Quantencomputing kaputt gemacht“).
Der Inhalt der Nachricht und einige ihrer Details sind in der folgenden Tabelle aufgeführt.
8, Angriffsdetails und Zeitleiste
Wir sortieren die wichtigen Ereignisse im Zusammenhang mit den Staubnachrichten der Salomon Brothers in chronologischer Reihenfolge sowie wichtige wichtige Details im Zusammenhang mit den beiden Angriffen.
(1) spezifische Details
An dieser Operation waren 3.738 unabhängige Sendeadressen und 39.423 Empfangsadressen beteiligt (von denen mindestens 5 möglicherweise von den Staubangriffstätern selbst kontrolliert wurden).Die beiden Absenderadressen der Solomon-Nachricht erscheinen gleichzeitig in der Empfangsadressliste, was darauf hindeutet, dass der Betreiber auch einen Staubangriff auf sein eigenes Wallet durchgeführt hat. Diese Aktivität weist sowohl auf der Ebene der Förderorganisation als auch auf der Ebene der Staubverteilung einen hohen Grad an Komplexität auf und richtet sich hauptsächlich an Adressen mit einem der folgenden drei Merkmale:
P2PKH-Adresse (früherer Adresstyp);
Adressen, die Token erhalten, diese aber nie übertragen haben (38.754 von 39.423 Adressen);
Adressen mit einer durchschnittlichen Ruhezeit von 1.890 Tagen.
Es ist erwähnenswert, dass der vollständig sichtbare Transaktionsverlauf von 5.097 Adressen nur den Empfang von Nachrichten im Zusammenhang mit Salomon Brothers umfasst;Wenn diese Adressen ausgeschlossen werden, beträgt die durchschnittliche Ruhezeit der verbleibenden 34.326 Zieladressen 2.171 Tage, wovon die Anzahl der Zieladressen, die Token erhalten, diese aber nie übertragen haben, 33.657 beträgt.Die älteste Adresse ist seit 5.991 Tagen inaktiv, die neueste Adresse ist seit 58 Tagen inaktiv und 34.307 Adressen sind seit mindestens drei Jahren inaktiv. Insgesamt zahlten die Täter des Staubangriffs mindestens0,49831883 BTCBearbeitungsgebühr(ca. 60.246 US-Dollar, basierend auf dem Wechselkurs vom 7. Oktober), ausgegeben für OP_RETURN-Nachrichten0,22768359 BTCStaubmarken (ca. 27.516,29 $) und am Ende der VeranstaltungZumindest recycelt0,00878853 BTCverbleibender Restbetrag(Ungefähr 1.062,52 $).
Diese Entität baute ein komplexes Geldflussnetzwerk auf: Vor dem Einleiten einer Staubtransaktion wurden die Token an Tausende von Adressen verteilt, wiederholt zwischen nachfolgenden Adressen für mehrere Nachrichtentypen zirkuliert und die Wechselgeldausgabe wurde manuell verteilt, anstatt an die sendende Wallet zurückgegeben („Wechselgeld“ in Bitcoin bezieht sich auf den verbleibenden Teil des Eingabebetrags, der nach Abschluss der Transaktion an den Absender oder die angegebene Adresse zurückgegeben wird).Diese Betriebsart erhöht zunächst die Schwierigkeit der Nachführung.Diese sowohl komplexe (41.523 OP_RETURN-Nachrichten umfassende) als auch umfangreiche Aktivität erfordert ein tiefgreifendes Verständnis des Bitcoin-Protokolls sowie einen hohen Vorbereitungs- und Ressourcenaufwand.
Art der Zieladresse:
Pay-to-Public-Key-Hash (P2PKH)-Adressen sind die Hauptziele dieser Runde von Messaging-Aktivitäten und machen 98,82 % aller Adressen aus, die Benachrichtigungen erhalten.Warum ist es wichtig, die Art der Empfängeradresse hervorzuheben?Da bestimmte Bitcoin-Adresstypen als anfälliger für neue Technologieangriffe gelten als andere, deutete die offizielle Mitteilung von Salomon Brothers zur OP_RETURN-Nachricht auch auf dieses Risiko hin: „Schurkenstaaten und kriminelle Organisationen mit umfangreichen Ressourcen stellen eine glaubwürdige Bedrohung für Hacker verlassener digitaler Geldbörsen dar.“ „Alte Verschlüsselungsprotokolle sind anfällig für neue Technologien, was bedeutet, dass sich böswillige Akteure illegal Zugang zu verlassenen Wallets verschaffen könnten – denn diese Wallets können nicht auf sicherere Versionen aktualisiert werden.“Diese Aussage scheint auf die mögliche Bedrohung von Bitcoin durch Quantencomputer hinzuweisen, die in diesem Jahr zu einem wichtigen Thema der Diskussion und Debatte in der Community geworden ist.
Quantencomputing ist eine Rechenmethode, die quantenmechanische Prinzipien (wie Superposition und verschränkte Zustände) zur Verarbeitung von Informationen nutzt. Die Rechenleistung für spezifische Probleme kann die von klassischen Computern um ein Vielfaches übertreffen.Derzeit bleibt das Risiko theoretisch: Einige Experten gehen davon aus, dass praxistaugliche Quantencomputer Ende der 2020er oder Anfang der 2030er Jahre auf den Markt kommen, in den 2030er Jahren die Rechenleistung weiter steigern und in den 2040er Jahren oder später die volle Zuverlässigkeit erreichen könnten.
Eine der Bedenken bei Angriffen auf Bitcoin durch Quantencomputer oder verwandte Technologien ist die potenzielle Fähigkeit der Technologie, öffentliche und private Schlüsselpaare abzugleichen, was es einem theoretischen Angreifer ermöglichen würde, unbefugte Kontrolle über Benutzergelder zu erlangen.Pay-to-Public-Key (P2PK)-Adressen (die in den frühesten Bitcoin-Blöcken verwendet wurden) betten den ursprünglichen öffentlichen Schlüssel direkt in das Ausgabeskript ein, wodurch dieser Skripttyp anfälliger für theoretische Quanten- oder ähnliche Angriffe ist als andere Adresstypen.Theoretisch könnten Quantencomputer oder andere Technologien private Schlüssel direkt aus offengelegten öffentlichen Schlüsseln ableiten und Gelder kapern.Im Gegensatz dazu sperren P2PKH-Adressen (das Hauptziel dieser Angriffsrunde) und nachfolgende Adressformate Münzen an den Hash des öffentlichen Schlüssels (d. h. das Ergebnis der kryptografischen Verschleierung), was bedeutet, dass der ursprüngliche öffentliche Schlüssel erst offengelegt wird, nachdem die Adresse die Münzen ausgegeben hat.Damit ein Angreifer diese Adressen ausnutzen kann, muss das Opfer daher vor diesem hypothetischen Angriff Token ausgegeben und die Ausgabeadresse wiederverwendet haben.Wie bereits erwähnt, scheint die überwiegende Mehrheit der Zieladressen niemals Gelder zu überweisen, sodass ihre öffentlichen Schlüssel niemals preisgegeben werden und theoretisch weniger anfällig für Angriffe sind als P2PK-Adressen.
Unsere Analyse ergab keine Hinweise darauf, dass die Adressen, die in dieser Aktivitätsrunde die Staubnachrichten der Salomon Brothers erhielten, vom Typ P2PK waren.Alle identifizierten Ziele sind vom späten Adresstyp, hauptsächlich P2PKH.Während ein P2PK-Output-Dust-Angriff technisch möglich ist, indem Token direkt an den ursprünglichen öffentlichen Schlüssel gesendet werden, haben wir keine Hinweise darauf gefunden, dass Kunden von Salomon Brothers einen solchen Vorgang durchgeführt haben.In der Praxis wurde die ursprüngliche P2PK-Nutzung weitgehend eingestellt: Moderne Bitcoin-Software unterstützt das Format nicht mehr und weder Wallets noch Börsen-Frontends erlauben es Benutzern, bloße öffentliche Schlüssel als Empfangsadressen einzufügen.Galaxy Research versuchte, BTC über zentralisierte und dezentrale Frontends an den P2PK-Ausgang zu senden, scheiterte jedoch.Am Ende konnte die Schlussfolgerung nur überprüft werden, indem manuell eine teilweise signierte Bitcoin-Transaktion (PSBT) erstellt wurde, die die ursprüngliche P2PK-Ausgabe enthielt, und diese unabhängig gesendet wurde. Dieser Vorgang erfordert eine benutzerdefinierte Skriptassemblierung, da die Standardschnittstelle die Verwendung moderner Adressformate erzwingt. Die Schwierigkeit des Experiments verdeutlicht, dass P2PK völlig veraltet ist – obwohl das Senden von Geldern an solche Adressen technisch immer noch möglich ist. Dies wirft eine wichtige Frage auf: Wenn der Kunde von Salomon angab, dass das Ziel darin bestand, verlassene Adressen vor technischer Ausbeutung zu schützen, warum ignorierte er dann den wohl anfälligsten und am wahrscheinlichsten aufgegebenen Adresstyp (P2PK) und sendete stattdessen Nachrichten in einem weniger anfälligen Format?
Am 2. September hielten P2PK-Adressen 1,719 Millionen BTC, was 8,63 % des zirkulierenden Angebots und 8,18 % des maximalen Angebots ausmachte. Diese riesige Menge an BTC wird allgemein als die anfälligste Menge für Angriffe angesehen, wenn Quantencomputing implementiert wird. Nach unserer Beobachtung haben Salomon-Kunden jedoch keine Benachrichtigungen an eine solche Adresse gesendet.
(2) Fondsvorbereitung und Prüfung wichtiger Adressen——4Mond7Sonnenwende6MondvierundzwanzigTag
Die frühesten Spuren des zweistufigen Angriffs gehen auf den 7. April zurück, als eine Geldtransaktion an einer Bitcoin-Adresse eintrafbc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99.Wie die folgende Analyse zeigt, ist diese Adresse zum zentralen Knotenpunkt nicht-salomonischer und salomonischer Aktivitäten geworden: Sie dient nicht nur als früheste Finanzierungsquelle für Staubadressen, sondern auch als Staubsendeadresse. Es ist auch die Zieladresse für die meisten Staubadressen, um den Restbetrag nach dem Senden von OP_RETURN-Nachrichten einzusammeln. Bevor der vollständige Betrieb begann, wurde die Adresse am 24. Juni verwendet, um eine Transaktion mit der folgenden Nachricht zu senden: „Dies ist eine 80-Byte-OP_RETURN-Testnachricht und muss korrekt sein.“Am nächsten Tag erhielt die Adresse zwei weitere OP_RETURN-Nachrichten „MESSAGE_1“ und „MESSAGE_2“. Zusammengenommen deuten diese Nachrichten darauf hin, dass die Dust-Angriffseinheit die OP_RETURN-Funktion von Bitcoin testet, um sich auf groß angelegte Aktivitäten vorzubereiten.
Erste Testtransaktion enthüllt Schlüsseladressebc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t——Diese Adresse hat Gelder über bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 Testgelder als manuell zugewiesene Änderungsadresse erhalten. bc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t wurde späterbc1qfefxhstqphwx6rkkxwlup9uufahx0enwm2x5adDie Adresse der Fondsquelle (diese Adresse nimmt an Nicht-Solomon-Aktivitäten teil und stellt bereit).bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhFinanzierung – Letztere ist eine weitere wichtige Adresse, die die Dust-Adresse finanziert und die beiden Kampagnen verbindet, während sie gleichzeitig weitere 180 Adressen finanziert, die Nicht-Solomon-Nachrichten senden.Daher spielt bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 eine Gateway-Rolle: sowohl als Bereitstellung von Geldern für Adressen in nicht-solomonischen Aktivitäten als auch als direkte Geldquelle für salomonbezogene Aktivitäten.
(3) Kein Link oder keine mit Solomon verbundene Nachricht——6Mond30Tag
Unmittelbar nach diesen Testtransaktionen wurden die Grundlagen für die erste Runde groß angelegter Staubaktivitäten durch zwei Mitteilungen gelegt: 1) „Nicht aufgegeben? Bitte initiieren Sie den On-Chain-Transaktionsnachweis über den privaten Schlüssel vor dem 30. September“; 2) „Rechtlicher Hinweis: Wir haben das Wallet samt Inhalt übernommen.“Diese Nachrichten erschienen am 25. Juni und wurden unter zufälligen Kombinationen derselben vier Adressen verbreitet.Die gesamte Aktivität begann am 30. Juni zwischen den Bitcoin-Netzwerkblöcken 903447 und 903448. Bei der ersten Transaktion am 25. Junibc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Eine zentrale Rolle spielt dabei: 1) Senden eines „nicht verworfen?“ Botschaft an sich selbst; 2) Sendenbc1qkq47hh2xv0ehvh44ec9z6pvy2856m5w66a3gw8(der am Vortag Geld bereitgestellt hat) sendet eine „Rechtliche Mitteilung“-Nachricht; 3) erhält dieselbe „Rechtliche Mitteilung“-Nachricht von derselben Adresse.Die Kampagne am 30. Juni wurde anschließend auf weitere 90 Adressen ausgeweitet (die zwei Arten von Nachrichten abdeckten), von denen 87 anschließend Mitteilungen im Zusammenhang mit Salomon Brothers erhielten.Zu den Adressaten, die diese Nachrichten erhielten, gehörte auch ein uralter Wal, dessen Beteiligung weitreichende Besorgnis über das Ereignis auslöste.Mit anderen Worten: Die mit dem Wal verbundene Adresse erhielt bereits am 30. Juni zwei Arten von Staubangriffen mit Nicht-Solomon Brothers-Nachrichten.
(4) Die erste Salomon-bezogene Nachricht wird gesendet——7Mond2Tag
Am 2. Juli verschickte die Dust-Angriffseinheit zum ersten Mal nach dem Vorfall vom 30. Juni eine Nachricht im Zusammenhang mit Salomon Brothers: „Mitteilung an den Eigentümer …“. Dies ist das erste Erscheinen der drei wichtigsten Salomon-Nachrichtentypen in diesem Monat. Ähnlich wie bei früheren nicht-salomonischen Aktivitäten,bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Erscheint in einer Testtransaktion (diese Transaktion befindet sich auf Blockhöhe).903659, nur 15 Blocks vom Hauptereignis entfernt).Entscheidend ist, dass dieser Test von kommtbc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhAdresse, die zwei Eigenschaften aufweist: 1) Sie wurde für den Versand einer „abgebrochenen“ Nachricht am 30. Juni verwendet;2) Es wurde von einer Adresse finanziert, die an der Staubveranstaltung am 30. Juni teilnahm. Auch,bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhUndbc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Finanzieren Sie mehrere Adressen, die Salomon-bezogene Nachrichten senden.Diese Überschneidung deutet stark auf einen direkten Zusammenhang zwischen den beiden Kampagnen hin.
Die Wiederverwendung von Adressen aus früheren Messaging-Phasen sowie die Bereitstellung von Testgeldern für Salomon Brothers-Operationen von Adressen, die an Nicht-Solomon-Aktivitäten beteiligt sind, könnten betriebliche Versehen sein.Diese Aktionen hinterließen schlüssige Beweise dafür, dass die nicht-salomonischen Botschaften und die mit den Salomon-Brüdern in Zusammenhang stehenden Botschaften tatsächlich koordinierte und kontinuierliche Aktionen waren, die von derselben Person ausgeführt wurden.
Noch wichtiger ist, dass der in der Nachricht bereitgestellte Link fehlschlug, weil er einen Unterstrich anstelle eines Bindestrichs enthielt (die Staubentität hat beim Einfügen des Bindestrichs möglicherweise versehentlich die Umschalttaste gedrückt).Jeder, der versucht, auf die Seite zuzugreifen, erhält einen 404-Fehler und die Meldung „Datei nicht gefunden“.Darüber hinaus verfügten 20 Adressen (mit Ausnahme von Adressen, die möglicherweise von Dust-Unternehmen kontrolliert werden) zum Zeitpunkt des Erhalts des falschen Links über insgesamt 106.602,06 BTC-Guthaben, und diese Adressen erhielten entweder nie die Nachricht nach der Korrektur oder hatten Token übertragen, bevor die Korrekturbenachrichtigung gesendet wurde.Diese Unterscheidung ist von entscheidender Bedeutung: Wenn ein Staubunternehmen versucht, rechtliche Rechte an sogenannten verlassenen Adressen geltend zu machen, wird diese bestimmte Gruppe von Adressen möglicherweise nicht rechtlich benachrichtigt.Zu dieser Adressgruppe gehört der antike Wal, der 80.000 BTC liquidiert hat – was bedeutet, dass es überhaupt keine zugängliche Webseite gibt, selbst wenn der Wal die Nachricht sieht.
(5) Fehler korrigieren——7Mond9Sonnenwende7Mond14Tag
Das Verhalten des Wals bei der Übertragung von Token am 4. Juli erregte große Aufmerksamkeit, und einige Leute glaubten, dass es eine Schwachstelle in Bitcoin gebe oder dass der Adresstyp P2PKH zumindest riskant sei. Die Diskussionen gingen weiter, als Wale Mitte des Monats begannen, Token abzuwerfen. Ungefähr zu dieser Zeit (9. Juli) begann die Dust-Angriffseinheit, in großem Umfang Nachrichten mit korrigierten URLs zu versenden.Die Kampagne für diese spezielle URL wurde in zwei Hauptwellen aufgeteilt: die erste am 9. Juli und die zweite am 13.–14.Juli – jede Nachrichtenwelle enthielt aktualisierte Links, jedoch mit leicht unterschiedlichen Formulierungen.
Ähnlich wie bei den ersten drei Nachrichtenstapeln erschienen am 8. Juli (also wenige Stunden vor dem Versand der ersten Welle von Korrekturnachrichten) zwei offensichtliche Testtransaktionen: Der erste Test enthielt nur einen Update-Link ohne zusätzlichen Text, und der zweite Test enthielt eine vollständige Update-Nachricht (mit Angabe der korrigierten URL).Die beiden Tests wurden in unterschiedlichen Blöcken gesendet. Der erste war 73 Blöcke im Voraus vom Beginn der Korrekturbenachrichtigungsaktivität entfernt, der zweite 27 Blöcke im Voraus.
Es ist erwähnenswert, dass die Testtransaktion, die nur die aktualisierte URL erhielt, die doppelten Eigenschaften aufwies: 1) Finanzierung durch eine manuell aktualisierte Änderungsausgabe einer Transaktion, die die alte Version der falschen Linknachricht enthielt;2) selbst enthält eine manuell eingefügte Änderungsausgabe an die Adresse bc1q2dskr0y97v zlpvkhr44tagdh906w48y6mu29mf (Diese Adresse hat anschließend ihr Guthaben über eine OP_RETURN-Nachricht gelöscht, die möglicherweise einen deutschen Rechtschreibfehler enthält, der in „Danke, dass Sie mich zur Welt gebracht haben. Jetzt werden Sie mit echtem Geld belohnt“ übersetzt wird.) Die Finanzierungstransaktion fand am 8. Juli statt, fünf Tage nach dem Ende der Nachrichtenkampagne „Webpage Correction“ (der alte Link wurde zuletzt am 3. Juli gesendet und der Test ging am 8. Juli ein).Die Transaktion enthält auch die Empfangsadressebc1qmak4853pysqmqlvmdcs3hwpz928dqqc5v6gnzw, wird diese Adresse dann zum Empfänger einer Nur-Link-Testtransaktion.Diese Adresse erhielt am 8. Juli auch eine ungewöhnliche OP_RETURN-Nachricht mit dem Inhalt „Diese Brieftasche wird im Oktober 2025 gelöscht“, was weiter darauf hinweist, dass es sich um eine experimentelle Adresse der Entität Dust Attack handelt.Es ist erwähnenswert, dass diese Adresse am 28. November 2023 zunächst 0,81162432 BTC-Gelder erhalten hat und die meisten Gelder erst am 30. Juli vollständig überwiesen wurden (nachdem sie mehrere Nachrichten vom Absender der Salomon Brothers erhalten hatten).
Von den 1.940 Adressen, die den falschen Link erhalten haben, hat die Mehrheit (1.919) auch die korrigierte Benachrichtigung erhalten (weitere 285 Adressen haben nicht den ursprünglichen falschen Link, sondern die korrigierte Benachrichtigung erhalten, was möglicherweise auf einen Betriebsfehler der Staubangriffseinheit zurückzuführen ist).Das ist erwähnenswertAdressen, die den Link zur ungültigen Besitzerbenachrichtigung erhalten haben, ihre Token jedoch vor dem Senden der Korrekturbenachrichtigung übertragen hatten, haben die Benachrichtigung über den Korrekturlink nicht erhalten.;Dies weist darauf hin, dass die Dust-Angriffseinheit die Adresse überwacht, von der sie die ursprüngliche Benachrichtigung gesendet hat, und sicherstellt, dass Nachrichten nicht erneut zugestellt werden (dies kann beabsichtigt sein oder weil der auf die Zieladresse angewendete Filter leere oder kürzlich aktive Adressen ausschließt).
Die zweite Runde der Dust-Angriffe mit aktualisierten Links wurde am 13. Juli mit dem Nachrichtenformat „Benachrichtigung an Eigentümer …“ gestartet. In dieser Angriffsrunde gibt es auch offensichtliche Testtransaktionen: Bereits zwei Tage vor dem Hauptteil der Aktivität (11. Juli)bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Die Nachricht wurde an die Adresse gesendet. Diese Nachricht wurde an insgesamt 3.204 Adressen gesendet, von denen keine den ursprünglichen falschen Link oder die Nachricht „Webseitenkorrektur“ erhielt.Zusätzlich zu Testtransaktionsempfängern,Alle Adressen in dieser GruppeFrist für linkbasierte Assoziationen (10. Oktober 2025)Keiner ist vollständig90Tage Kündigungsfrist: Der Adresse, die am 13. Juli den Staub erhielt, wurde nur eine Benachrichtigungsfrist von etwa 88,4 Tagen eingeräumt, und dem Empfänger am 14. Juli wurde nur eine Benachrichtigungsfrist von etwa 87,5 Tagen eingeräumt (ab dem Zeitpunkt der Bestätigung in der OP_RETURN-Transaktionskette).Dieses Detail ist von entscheidender Bedeutung, da in der schriftlichen Mitteilung, die der Nachricht beigefügt ist, behauptet wird, dass der Empfänger mindestens 90 Tage Zeit hat, um zu antworten. Zum Zeitpunkt des Erhalts der Benachrichtigung hielten diese Adressen zusammen 251.606,5217 BTC.Es ist erwähnenswert, dass 107 der Adressen, die diese Nachricht erhalten haben, außer dem Empfangsverhalten keinerlei Aktivitätsspuren aufwiesen.Diese Adressen verfälschen möglicherweise das Ausmaß der Aktivität, indem sie die Anzahl der Adressen erhöhen, die Nachrichten empfangen, wodurch die Illusion entsteht, dass es eine große Anzahl gefährdeter Adressen gibt.
Die Token-Bewegung des Wals sorgte bis zum 25. Juli weiterhin für Schlagzeilen, ein Zeitplan, der mit der dritten (und letzten) Version der Nachricht von Salomon Brothers zusammenfällt, die am 23. Juli gesendet wurde.Die Nachricht lautet: „Rechtlicher Hinweis für Wallet-Besitzer: Bitte besuchen Sie die Webseite …“. In Übereinstimmung mit dem vorherigen Muster traten in den ersten 22 Blöcken der Aktivität offensichtliche Testtransaktionen auf.Es ist erwähnenswert, dass keine der 33.987 Adressen, die die Nachricht erhalten haben, im Juni oder Juli Nachrichten erhalten hat.Diese Nachricht, die gemessen an der Anzahl der Empfänger die größte ist, wurde in zwei getrennten Sendungen verschickt: die erste zwischen dem 23. und 24. Juli und die zweite zwischen dem 28. Juli und dem 4. August. Davon wurden vom 23. bis 24. Juli 6.000 Nachrichten verschickt; Vom 29. Juli bis 1. August wurden 27.987 Nachrichten versendet;und am 4. August wurde eine einzige Nachricht gesendet.
Wesentliche Unterschiede zwischen der „Impressum“-Nachricht und allen vorherigen Nachrichten sind die große Anzahl der Zieladressen, die lange Dauer der Kampagne und der geringe durchschnittliche Saldo der Zieladressen.Die Nachricht wurde innerhalb von 13 Tagen an 33.987 Adressen gesendet, ihre Dauer war 2,17-mal länger als die der nächstgrößten Kampagne und sie hatte 6,28-mal mehr Empfänger als die nächstgrößte Kampagne.Darüber hinaus ist der durchschnittliche Saldo der Zieladresse dieser Art von Nachricht (1,37 BTC) deutlich kleiner als bei anderen Typen: Der durchschnittliche Saldo der Kategorieadresse „Eigentümerbenachrichtigung“ beträgt 400,52 BTC, der der Kategorie „Eigentümerbenachrichtigung“ 980,52 BTC und die Zieladresse der Nachrichten der Kategorien „Abbruch“ und „Übernahme“ erreichen beide 8.400 BTC.
Interessanterweise hatten 4.990 der Adressen, die diese letzte Benachrichtigung erhielten, außer dem Empfang dieser OP_RETURN-Nachricht keine Transaktionshistorie.Dieses Phänomen tritt auch in der Meldung „Eigentümerbenachrichtigung“ auf, die absichtlich verwendet werden kann, um den Umfang der Aktivität aufzublähen.
(6) Schlussphase
Wenn die Staubangriffseinheit nach und nach verschiedene Nachrichtenaktivitäten beendet, wird sie die verbleibenden Gelder stapelweise an ihre eigene Adresse abheben, um die Adresse zu löschen, die zum Senden eines bestimmten OP_RETURN-Nachrichtensatzes verwendet wurde.In manchen Fällen wird eine Transaktion, die die aktive Adresse einer bestimmten Nachricht löscht, auch zu einer Geldquelle für den Versand neuer Nachrichten an eine neue Adresse. Vermutlich hat die Entität all diese Sprünge hinzugefügt, um die Verbindung zu früheren Nachrichten zu maskieren und sicherzustellen, dass der Besitzer der vom Staub angegriffenen Adresse die Verbindung zwischen den verschiedenen Nachrichtensätzen nicht einfach über einen Block-Explorer identifizieren kann.Diese Interpretation wird durch die Tatsache gestützt, dass von den 3.738 Adressen, die zum Versenden von Nachrichten verwendet wurden, 3.734 Adressen nur einen Nachrichtentyp übermittelten, während die vier Adressen, die an mehreren Nachrichtentypen teilnahmen, alle in offensichtlichen Testtransaktionen auftauchten.
Adressebc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Fungiert in mehreren Szenarien als Vermittler, um Gelder zwischen Adressen mit benachbarten Nachrichtenaktivitäten zu zirkulieren.Außerdem die Adressebc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhDient als Gateway-Adresse, um verbleibende Mittel aus Nicht-Solomon-Aktivitäten auf den ersten Stapel von Solomon-bezogenen Nachrichten umzuverteilen.Wenn die Verwendung der Adresse vollständig beendet ist, werden die verbleibenden BTC, die durch den Löschvorgang wiederhergestellt wurden, an eine neue Adresse gesendet, die nicht mit der OP_RETURN-Nachricht verknüpft ist. Einige Transaktionen sind umfangreich und kostspielig, da für eine einzelne Transaktion bis zu 68,2 kvb (kilovirtuelle Bytes) an Daten erforderlich sind und eine Bearbeitungsgebühr von bis zu 1.300 US-Dollar anfällt.
(7) Hinweisassoziation
Zwei konkrete Adressen deuten stark darauf hin, dass die Entitäten hinter der salomonischen Aktivität wahrscheinlich auch die Betreiber früherer nicht salomonischer Aktivitäten waren:bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Undbc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh.Wie die frühesten Nachrichten über die Tests vermuten ließen, sind dieselben Adressen, die Pionierarbeit bei den ersten Experimenten geleistet haben, als wichtige Brücken zwischen nicht-salomonischen und salomonischen Aktivitäten wieder aufgetaucht.
Die verdeckte Verbindung zwischen den beiden Kampagnen ergibt sich aus den drei folgenden Merkmalen der beiden Adressen: 1) offenbar Durchführung von Testangriffen aufeinander während der Solomon-Markenkampagne; 2) jeder sendet mindestens eine Transaktion, die Nicht-Solomon-Nachrichten enthält;und 3) gemeinsame Finanzierung der Adressen, die in der Salomon-bezogenen Kampagne verwendet werden. Darüber hinaus wird bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh bereitgestellt vonbc1qfefxhstqphwx6rkkxwlup9uufahx0enwm2x5adwurde finanziert (die Adresse wurde zum Testen des Nachrichtensatzes vom 30. Juni verwendet), der wiederum von bc1qgh3jg9pqrjyawwernal2u7kuhezrxelgp72z0t finanziert wurde (die Adresse selbst wurde als Änderungsausgabe von bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 finanziert).
Das Bild unten ist eine Diagrammvisualisierung, die aus einer Single-Hop-Netzwerkanalyse erstellt wurde.Diese Analyse bildet alle Adressen ab, die direkt mit der Startadresse verbunden sind (mit der Bezeichnung „Fokusadresse“), und die Datenquelle umfasst sowohl Kapitalströme im Zusammenhang mit Salomon Brothers als auch Nachrichtenflüsse und Nicht-Solomon-Nachrichtenflüsse.Die Anordnung der Knoten und Kanten im Diagramm wird durch den Kamada-Kawai-Layout-Algorithmus bestimmt, der den Abstand optimiert, um enger verbundene Knoten näher aneinander zu bringen und Linienschnittpunkte zu minimieren, um die Lesbarkeit zu verbessern.In dicht besiedelten Bereichen kann es jedoch zu Überlappungen der Knoten kommen, was das visuelle Zählen erschwert.
Enthält zwei Beziehungstypen:
SchwarzMittelfluss(Linie): Stellt eine Geldlieferungstransaktion zwischen Adressen dar (z. B. stellt Adresse X Geld für Adresse Y bereit).
Orange und Grün zweifarbigStaubangriff(Linie): Stellt Staubnachrichten dar (z. B. führt Adresse A einen Staubangriff auf Adresse B durch). Die Farbe unterscheidet Aktivitätstypen: Cyan steht für Aktivitäten im Zusammenhang mit Salomon und Orange für Aktivitäten, die nicht im Zusammenhang mit Salomon stehen.
Darüber hinaus bleibt die selbstzyklische Beziehung einer Adresse, die einen Staubangriff auf sich selbst durchführt, in der Analyse erhalten und wird durch einen Bogen dargestellt, der zum selben Knoten zurückkehrt (wie in der Abbildung für eine Fokusadresse dargestellt).
Die visuelle Grafik zeigt, dass die beiden Startadressen durch die mit den Solomon Brothers verbundenen Nachrichtenaktivitäten direkt miteinander verbunden sind und jede von ihnen Staubangriffe auf Adressen durchgeführt hat, die nicht in der Solomon Brothers-Aktivität enthalten sind.Die beiden stellten auch Gelder für Adressen bereit, die anschließend für Aktivitäten der Salomon Brothers verwendet wurden, wodurch es zu einer Überschneidung zwischen dem Geldfluss und dem Dust-Angriff kam.Besonders hervorzuheben ist, dass sich bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 in der ursprünglichen Nachricht verstaubt hat, die als sich selbst wiederholende Struktur in der Mitte des Diagramms erscheint.
Aus der Makroperspektive ist klar zu erkennen: Adressebc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99Undbc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhSowohl in Solomon- als auch in Nicht-Solomon-Kampagnen können Sie Nachrichten finanzieren und an aktive Adressen senden.Die Adresse bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 spielte eine wichtige Rolle bei der Vorbereitung der Mittel für die aktive Adresse der Salomon Brothers und diente als Eingabeadresse für mehr als 750 solcher Adressfinanzierungstransaktionen.Die folgende Grafik zeigt die Bandbreite der Adressen, die durch Transaktionen von dieser Adresse finanziert wurden, und wie diese Adressen weitere Adressen finanzierten, die an mit Salomon Brothers verbundenen Aktivitäten beteiligt waren.Es ist erwähnenswert, dass die beiden Fokusadressen auch erste Kapitalzuflüsse zu den ersten Wallets der Salomon Brothers-Aktivität bereitstellten, wodurch diese über operative Fähigkeiten verfügten und die anschließende Ausweitung der Aktivität förderten.
Besonders kritisch ist, dass es eine Transaktion gab, die gleichzeitig 51 Ausgangsadressen durch zwei Adressen finanzierte, die die beiden Aktivitäten verbindet.Diese Ausgangsadressen wurden anschließend zur Durchführung und weiteren Finanzierung der Aktivitäten der Solomon Brothers verwendet. Die verbleibenden Gelder, die aus Nicht-Solomon-Nachrichten zurückgewonnen wurden, wurden in dieser Transaktion verteilt, nachdem sie über bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh geleitet wurden – ein Geldfluss, der weiter unten im Detail erläutert wird.
Das Bild unten verdeutlicht die Bedeutung dieser beiden Adressen für die Finanzierungsadressen, die in der Messaging-Kampagne von Salomon Brothers verwendet werden.Im Gegensatz zu herkömmlichen Kantendiagrammen basiert diese Visualisierung eher auf räumlicher Nähe als auf sichtbaren Verbindungen: Cluster bilden sich, wenn bestimmte Adressen in derselben Finanzierungstransaktion gleichzeitig vorkommen.Da Bitcoin-Transaktionen mehrere Inputs und mehrere Outputs umfassen können, erfasst dieses Diagramm gemeinsame Beteiligungsbeziehungen an Kapitalflüssen und nicht ausschließliche Eins-zu-eins-Kapitalbeziehungen.Daher sollte eine Startadresse als teilnehmender Kern-Hub und nicht als eindeutiger Ursprungspunkt für jede finanzierte Adresse in ihrem Cluster interpretiert werden.
Diese Abbildung zeigt, dass die Zieladresse den Kern des Finanzierungsclusters bildet und direkt oder indirekt die meisten Staubangriffsadressen in der Salomon Brothers-Aktivität berührt.Sie fungieren auch als Mitbeteiligte an der Finanzierung anderer Adressen (die als sekundäre Hubs fungieren) und strahlen jeweils unabhängige Cluster von Finanzierungsempfängern aus (hervorgehoben durch eine Hub-and-Spoke-Struktur, die um einen Kerncluster herum aufgebaut ist).Dieses Modell betont, dass die Zieladresse nicht nur selbst ein Kernteilnehmer ist, sondern auch eng mit anderen einflussreichen Finanzierungsgebern verbunden ist, wodurch ihre Schlüsselrolle im Nachrichtenfinanzierungsnetzwerk Salomon Brothers gestärkt wird.
Schließlich bestätigte ein wichtiger Geldfluss den Zusammenhang zwischen den beiden Aktivitäten.Adressebc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lhEs spielt eine doppelte Rolle: Es ist sowohl eine Geldsammeladresse für den Versand von Nicht-Solomon-Nachrichtenadressen als auch eine Geldquelle für den Versand der ersten Runde von Solomon-bezogenen Nachrichtenadressen. Die folgende Abbildung veranschaulicht diesen Kapitalfluss visuell, der im Vergleich zum vorherigen komplexen Diagramm vereinfacht ist, um die Rolle hervorzuheben, die bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh bei der Verbindung von Nicht-Solomon- und Salomon-Markenaktivitäten spielt.
Der wichtigste Teil dieses Finanzierungsflusses begann am 30. Juni um 16:00:35 Uhr Pekinger Zeit (EST), wobei bc1qfefxhstqphwx6rkkxwlup9uufahx0enwm2x5ad Mittel an 181 Adressen bereitstellte, darunter bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh.Diese 181 Adressen wurden anschließend zum Versenden von Nicht-Solomon-Nachrichten verwendet. Nachdem die Nicht-Solomon-Nachrichten gesendet wurden, setzten diese Adressen ihre verbleibenden Guthaben am 30. Juni 2025 um 21:23:02 Uhr auf bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh auf Null (ungefähr drei Stunden nach dem Senden der letzten Nicht-Solomon-Markennachricht).Zwei Tage später spendete die Adresse bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh zusammen mit bc1q2f60twvuwftp50dz4hmjphyw9ntwaeyhpqul99 Gelder an 51 Adressen, die anschließend in der ersten Runde der Solomon-Kampagnen (d. h. der Kampagne enthält den fehlerhaften Link).Dies weist darauf hin, dass bc1qgj33ldeqdqp63h9awv6vk8gdg5692y3w2s86lh ein Gateway-Hub ist, der den Geldfluss zwischen den beiden Veranstaltungen erleichtert.
(8) Gesamtanalyse der Auswirkungen von Staubangriffen
Die Staubangriffseinheit hat insgesamt Nachrichten an 39.418 unabhängige Adressen gesendet, von denen wir festgestellt haben, dass sie nicht unter ihrer Kontrolle stehen, und diese Adressen enthielten insgesamt maximal 2.334.482,52 BTC.
Da der Angreifer an einige Adressen mehrere Nachrichten gesendet hat, verwendet diese Statistik für die Überlagerungsberechnung den maximalen Saldo jeder unabhängigen Adresse beim Empfang einer Nachricht.Alle Adressen, die wir als zur Staubangriffseinheit selbst gehörend identifiziert haben, wurden von dieser Analyse ausgeschlossen.
Ein Zweck der Dust-Angriffsaktivität besteht darin, zu beobachten, ob Benutzer als Ergebnis Token übertragen.Wie effektiv ist es also, wenn es der angreifenden Entität gelingt, Benutzer zum Handeln zu veranlassen? Die folgenden Analysedaten beziehen sich auf den Stand vom 29. September, 8:30 Uhr ET.
6Mond30Gesendet am Tag„verlassen„Und„übernehmen„Information:
Diese beiden Arten von Nachrichten wurden an 94 unabhängige Adressen gesendet, von denen wir 4 als vom angreifenden Unternehmen gesendete Testtransaktionen identifizierten. Während dieses Ereignisses und der ersten Runde des Solomon-Nachrichtenversands fand keine Tokenübertragung an Adressen statt, von denen nicht vermutet wurde, dass sie Angreifern gehörten, was darauf hindeutet, dass die Erfolgsquote der Nachricht vom 30. Juni 0 % betrug.Der Gesamtbestand der Ziel-Wallets betrug zum Zeitpunkt des Versands dieser Nachrichten 789.565 BTC.
Nachrichtenanalyse von Salomon Brothers:
Die Analyse von Solomon-bezogenen Nachrichten ist etwas komplizierter, da es drei Nachrichtenkategorien gibt und diese in einigen Fällen an verschiedene Kombinationen derselben Adresse gesendet werden.Die folgenden Daten analysieren die Erfolgsrate von Solomon-Angriffen unter Berücksichtigung einzigartiger Kombinationen von Nachrichtentypen und Staubadressen.
7Mond2Falscher Link gesendet
Die erste Salomon-Markennachricht mit dem falschen Link wurde an gesendet1.939unabhängige Adresse(Mit Ausnahme von Adressen, die möglicherweise von Staubangriffsunternehmen kontrolliert werden) betragen die nominalen Bestände dieser Adressen1.902.210,5 BTC.In10AdressenBevor die Korrekturmitteilung am 8. Juli verschickt wirdAusgetragen86.161,15 BTC.Dieser Stapel übertragener Adressen umfasst den alten Wal, der 8 der Adressen kontrolliert und 80.009,44 BTC übertragen hat.Berechnen Sie die Erfolgsquote der Nachricht anhand der Anzahl der Adressen0,52 %,PressstaubBTCDer Wert wird berechnet als4,53 %. Diese Statistik geht davon aus, dass der Wallet-Besitzer Maßnahmen ergriffen hat, nachdem er die Nachricht gesehen hatte.Eine spätere Analyse legt jedoch nahe, dass zumindest ein Teil des Übertragungsverhaltens auf Zufall zurückzuführen sein könnte.
7Mond9Hallo7Mond13Korrektur-Link-Nachricht gesendet
Der Korrekturlink wurde in zwei separaten Nachrichtenpaketen gesendet: Eine wurde als Korrekturnachricht markiert und an Adressen gesendet, die zuvor den falschen Link erhalten hatten (und einige Adressen, die ihn nicht erhalten hatten); der andere wurde an eine völlig neue Adressgruppe gesendet. Um die konkrete Erfolgsquote solcher Nachrichten beurteilen zu können, muss zwischen diesen beiden Nachrichtentypen unterschieden werden.
Nach Erhalt der Korrekturbenachrichtigung haben insgesamt 109 Adressen (mit Ausnahme bekannter Staubangriffsadressen) 55.161,62 BTC übertragen.Die konkrete Aufteilung ist wie folgt:
Aktie32Adressweiterleitung42.510,35 BTCDiese Adressen erhielten sowohl die Korrekturmitteilung als auch die ursprüngliche Solomon-Mitteilung, hatten jedoch zuvor keine Maßnahmen ergriffen.Dieser Stapel von AdressenGesamtbestand1.795.607,63 BTC(beteiligt1.918Adresse), die Erfolgsquote wird basierend auf der Anzahl der Adressen berechnet1,67 %, berechnet auf der Grundlage des gehaltenen BTC-Werts2,37 %.Eine der Adressen hat nach Erhalt der Korrekturbenachrichtigung nur einen geringen Betrag an BTC übertragen und hält aktuell noch 1.105,13 BTC;die andere Adresse behält 0,1 BTC.
Aktie8Adressweiterleitung2.714,12 BTCerhalten diese Adressen nur Korrekturbenachrichtigungen und keine Originalbenachrichtigungen.Dieser Stapel von AdressenGesamtbestand118.489,25 BTC(beteiligt284Adresse), die Erfolgsquote wird basierend auf der Anzahl der Adressen berechnet2,82 %, berechnet auf der Grundlage des gehaltenen BTC-Werts2,29 %. Eine der Adressen hat nach Erhalt der Nachricht nur eine kleine Menge BTC übertragen und hält derzeit noch 424,59 BTC.
Aktie69Adressweiterleitung9.937,13 BTCDiese Adressen haben den Korrekturlink als neue Benachrichtigungsobjekte erhalten.Dieser Stapel von AdressenGesamtbestand251.606,54 BTC(beteiligt3.203Adresse), die Erfolgsquote wird basierend auf der Anzahl der Adressen berechnet2,15 %, berechnet auf der Grundlage des gehaltenen BTC-Werts3,95 %.Diese Adressen erhielten jedoch nicht die gesamte in der Benachrichtigung versprochene Nachfrist von 90 Tagen (Empfangszeitpunkt der Nachricht war der 13. bis 14. Juli und die Frist war der 10. Oktober). Ein falscher Benachrichtigungszeitraum könnte diese Token vor jeglichem Rechtsweg schützen.
Insgesamt die Erfolgsquote dieser Korrektur an der verlinkten NachrichtBerechnet anhand der Anzahl der Adressen2,02 %,entsprechendBTCWert berechnet als2,55 %.
7MonddreiundzwanzigSonnenwende8Mond4Gesendet am Tag„rechtlicher Hinweis„Information
Die Erfolgsquote einer „Legal Notice“-Nachricht lässt sich problemlos bewerten, da die Adressgruppe für ihren Staubangriff zuvor keine Solomon- oder Nicht-Solomon-Nachrichten erhalten hat.existieren33.986Adressen gibt es3Adressen wurden übertragen114,99 BTC(Der Gesamtbestand dieser Adressgruppe beträgt46.693,66 BTC). Berechnen Sie die Erfolgsquote anhand der Anzahl der Adressen0,009 %, berechnet im BTC-Wert als0,25 %. Die Salden der einzigen Adressen in dieser Gruppe, die Token übertragen haben, wurden auf Null gelöscht.
Gesamtwirkung:
Nachdem der Staubangriff vorüber ist,Aktie122Kumulativ übertragene Adressen141.437,76 BTC.Unter der Annahme, dass der Gesamtwert der vom Staubangriff betroffenen Adressen 2.334.482,52 BTC beträgt, berechnet auf Basis des BTC-Saldos6,06 %Die Übertragung erfolgt, berechnet auf Basis der Anzahl der Adressen0,31 %Es findet eine Tokenübertragung statt. Nach Ausschluss von Adressen, die Token übertragen, aber Guthaben ungleich Null behalten haben,immer noch wertvoll2.188.604,9 BTCStaubangriffsbilanz (entspricht der zirkulierenden Versorgung).10,98 %, das maximale Angebot an10,42 %) Es fand keine Übertragung statt, und es kann daher sein, dass aufgrund dieser Nachrichten rechtliche Folgemaßnahmen ergriffen werden.Hinweis: Diese Werte zählen nur die On-Chain-Token-Bewegung und umfassen keine Wallets, die Salomon Brothers möglicherweise über das Benachrichtigungs-Link-Formular kontaktiert haben.
Sofern weitere Ausschlüsse nicht vorliegen, sind diese nicht vollständig90Adressen mit einer Kulanzfrist von 3 Tagen, Adressen, die nur erste Fehlermeldungen erhalten, und Adressen, die weniger als drei Jahre inaktiv waren(Wichtige Fristen im rechtlichen Kontext von verlassenem und nicht beanspruchtem Eigentum),Dann gibt es ungefähr1.920.124,4 BTCMöglicher Rechtsweg, der möglicherweise mitgeteilt werden muss.Dies entsprichtzirkulierende Versorgung9,64 %, das maximale Angebot (2100Tausende Stück)9,14 %.
Die Übertragung von Tokens nach Erhalt der Nachricht könnte rein zufällig sein:
Es gibt Hinweise darauf, dass einige Adressen, die nach dem Staubangriff Token übertragen haben, rein zufällig waren und ihre Besitzer die Nachricht möglicherweise nie gesehen haben. Ein typisches Beispiel ist die Adresse 16P6cMXdmiiZR5d4L5aa793HwWZ5MomMKu: Sie übertrug 80 Minuten vor Erhalt der Solomon-Nachricht 1.219,99 BTC-Reserven.Dies deutet darauf hin, dass die Dust-Angriffseinheit den Adressstapel vor dem Senden der Nachricht zusammengestellt hat – währenddessen wurden Token an diese bestimmte Adresse übertragen.Die insgesamt aktive Walaktivität in der Kette in den letzten Monaten stützt die Interpretation, dass diese Token-Transfers rein zufällig sind.
9, Was sind die wahren Ziele der Salomon-Kunden?
Einer Erklärung auf der Website von Salomon Brothers zufolge begehen die Kunden des Unternehmens altruistische Handlungen. Das Unternehmen gab an, dass „unsere Kunden wissentlich keine Maßnahmen ergreifen, die sich nachteilig auf den Kryptomarkt auswirken“ und dass es „kein Interesse an Wallets geltend macht, die nicht tatsächlich aufgegeben wurden“.Solomon behauptet, der Kunde beabsichtige auch, einen „Fonds zur Wiederherstellung schlüsselloser Geldbörsen zu schaffen, um denjenigen zu helfen, die den Zugriff auf ihre Geldbörsen verloren haben, aber den rechtmäßigen Besitz nachweisen können“.
Es ist möglich, dass Salomon-Kunden lediglich versuchen, zurückgelassene Token in die Obhut der Regierung zu überführen, um das Netzwerk vor feindlichen Einheiten zu schützen (der Schutz des Netzwerks ist ein Ziel, das in den zahlreichen Mitteilungen klar dargelegt wird). Dies allein wird diese Risiken jedoch nicht mindern: Verstaatlichte Wallets sind genauso anfällig wie private Wallets, wenn bestehende Verschlüsselungsschutzmaßnahmen verletzt werden;Wenn die Regierung diese Token verkauft, könnten sie auf den Markt zurückfließen und in genau die Verwahrungsvereinbarungen geraten, vor denen sich die Kunden angeblich schützen wollen.Kunden glauben jedoch möglicherweise, dass böswillige Unternehmen weniger bereit sind, anzugreifen, sobald das Token der staatlichen Regulierung unterliegt, selbst wenn sie dazu in der Lage sind.
Aber auch eine andere, pessimistischere Interpretation ist nicht auszuschließen.Berücksichtigen Sie die folgenden Faktoren:
Es gibt Widersprüche zwischen den öffentlichen Äußerungen von Salomon Brothers und den On-Chain-Benachrichtigungen.In den öffentlichen Äußerungen des Unternehmens wird das Kundenverhalten als altruistisch dargestellt und betont, dass die Kampagne das Netzwerk und Inhaber schützen soll, die den Zugriff auf ihre Token verlieren.Diese Zusicherungen lassen sich jedoch nur schwer mit dem Wortlaut der Mitteilung selbst in Einklang bringen, in der behauptet wird, der Kunde habe „konstruktiven Besitz“ der Empfangsadresse erlangt, und gewarnt wird, dass Unterlassungen zum „Verlust aller Rechte, Titel und Interessen“ führen könnten.Solomon sendete gemischte Signale: In den zugänglichsten Mitteilungen werden Kunden als wohlwollende Beschützer dargestellt;Im Kleingedruckten behält sich der Hinweis jedoch das Recht vor, das Eigentum an den Token zu beanspruchen, auf die Kunden möglicherweise keinen Zugriff haben (es sei denn, sie verfügen über private Schlüssel oder einen Quantencomputer, was wir beide für äußerst unwahrscheinlich halten).Dieser Widerspruch wirft die Frage auf: Wenn das eigentliche Ziel darin besteht, das Netzwerk vor der Bedrohung durch technologische Schwachstellen zu schützen, warum sollte man dann persönlichen Besitz geltend machen?
Charakteristisches Porträt der Zieladresse.Trotz Solomons Anspielungen auf Quantenrisiken umgingen seine Kunden den am stärksten gefährdeten Adresstyp (P2PK) und konzentrierten sich stattdessen auf P2PKH-Wallets, die fast sechs Jahre lang inaktiv waren, ohne jemals Token zu übertragen – und übertrafen damit deutlich die dreijährige Ruheschwelle, die in den Vorschriften für aufgegebene Eigentumsrechte an digitalen Vermögenswerten mehrerer Bundesstaaten festgelegt ist (siehe unten).
90Tage Frist.Dies spiegelt die 60- bis 120-tägige Kündigungsfrist wider, die in den Gesetzen über nicht beanspruchtes Eigentum üblich ist.
Präzisionsbetriebsfähigkeiten des Kunden.Wie oben erwähnt, scheint der Betreiber hinter der Nachricht ein tiefes Verständnis für die technische Architektur und die soziale Dynamik von Bitcoin zu haben (in der Mitteilung wird die Quantenfragilität des Netzwerks erwähnt, ein seit langem bestehendes Nischenthema in der Bitcoin-Community).Die Kombination aus technischen Fähigkeiten und sozialen Erkenntnissen gibt Kunden die außergewöhnliche Fähigkeit, sowohl On-Chain-Aktionen in großem Maßstab durchzuführen (Nachrichten an fast 40.000 Adressen zu senden) als auch Nachrichteninhalte zu gestalten, indem sie die Ängste der Gemeinschaft und soziale Spannungen ausnutzen.Dies macht die Veranstaltung eher zu einer meinungsbildenden und ruhenden Druckübung als zu einer öffentlichen Bekanntmachung.
Verhaltenstestmodus.Der Kunde übernahm keine einzige Methode zum Versenden von Benachrichtigungen, sondern begann in kleinem Maßstab und erweiterte den Geschäftsumfang innerhalb eines Monats mit zunehmender öffentlicher Aufmerksamkeit weiter.Wenn die Absicht besteht, Bitcoin-Benutzer vor einer drohenden Bedrohung zu warnen, gibt es keinen Grund, die Leaks stapelweise zu versenden und die Abdeckung schrittweise zu erhöhen – es wäre effizienter, alle Benachrichtigungen auf einmal zu versenden, anstatt einen ganzen Monat in Anspruch zu nehmen.
Wenn man diese Faktoren kombiniert, könnte man spekulieren, dass Salomon-Kunden beabsichtigten, rechtliche Schritte nach den Gesetzen über nicht beanspruchtes oder verlorenes Eigentum einzuleiten, um das Eigentum an sogenannten „verlassenen“ Token geltend zu machen oder eine staatliche Treuhandschaft zu erzwingen.
Wenn man das Gesamtbild betrachtet, wendet das US-Eigentumsrecht selten den Volksgrundsatz an: „Wer es findet, wem es gehört“ – und das gilt insbesondere im Bereich der Kryptowährungen.Das „Gefundene-Dinge“-Prinzip gilt traditionell nur für materielles persönliches Eigentum, nicht für immaterielle Vermögenswerte wie BTC.Letzteres muss der Regierung gemeldet werden.
Obwohl die Gesetze zu nicht beanspruchtem Eigentum in den Bundesstaaten unterschiedlich sind, sehen sie im Allgemeinen vor, dass der „Inhaber“ zunächst eine sorgfältige Prüfung durchführen muss, um den „Eigentümer“ zu kontaktieren, wenn ein virtuelles Währungskonto für die gesetzliche Dauer inaktiv bleibt.Mitteilungen zur gesetzlichen Sorgfaltspflicht werden vom Inhaber in der Regel per erstklassiger Post (einschließlich E-Mail, sofern vereinbart) innerhalb der staatlich vorgeschriebenen Frist (im Allgemeinen 60–120 Tage vor der Einreichung) an die letzte bekannte Adresse des Eigentümers gesendet.Schlägt dies fehl, ist der Inhaber gesetzlich verpflichtet, das Vermögen bei der Landesregierung anzumelden und es anschließend in staatliche Verwahrung zu überführen.Der Staat fungiert dann als Verwalter der Gelder im Namen der ursprünglichen Eigentümer, während die Inhaber von der Haftung befreit sind.Dies ermöglicht es dem Eigentümer oder seinen Erben, jederzeit beim Staat die Wiederherstellung des Wertes der Immobilie zu beantragen.
Die Anzahl der Bundesstaaten, die digitale Vermögenswerte in ihre Gesetze zu verlassenem Eigentum aufgenommen haben oder gerade dabei sind, dies zu tun, könnte Aufschluss darüber geben, welchen Weg die Kunden von Salomon einschlagen und mit welchen Einschränkungen sie möglicherweise konfrontiert sind.
Das Versenden elektronischer Verlassenheitsmitteilungen über eine OP_RETURN-Transaktion (anstelle einer nicht erreichbaren Adresse oder E-Mail) steht möglicherweise im Einklang mit dem Geist einiger bundesstaatlicher Gesetze zu nicht beanspruchtem Eigentum in den Vereinigten Staaten. Bestimmte Definitionen und die Anwendbarkeit dieser Gesetze können jedoch die Geschäftsfähigkeit eines Kunden einschränken, darunter:
wozu„Halter„?Diese Gesetze definieren „Inhaber“ durchgängig als ein Unternehmen, eine Körperschaft oder eine andere juristische Person, die verpflichtet ist, Eigentum zu besitzen, zu liefern oder an den „Eigentümer“ zu zahlen. Ein Eigentümer ist eine Person, die gesetzliche Rechte an einer vermeintlich verlassenen Immobilie besitzt. Im Zusammenhang mit KryptowährungenHalterkategorieDazu können zentralisierte Börsen, Depot-Wallets und Fintech-Anwendungen, qualifizierte Depotbanken und Treuhandunternehmen sowie kryptowährungsfähige Broker und Anlageplattformen gehören.Solche Unternehmen können den Inaktivitätsstatus des Kontos und Eigentümerinformationen (wie Name und Privatadresse) verfolgen, Due Diligence durchführen und Gelder an den Staat überweisen.Und für SelbstveranstalterGeldbörse, ist der Benutzer der einzige, der Zugriff auf die Gelder hat, und die Entwickler dieser Lösungen können die Identität des Benutzers nicht zurückverfolgen oder Gelder im Namen des Eigentümers senden.Daher gibt es keine Dritten, die die Vermögenswerte melden oder übertragen könnten, und es ist unmöglich, diese Gelder ohne Zugriff auf die entsprechenden privaten Schlüssel zu bewegen – daher trifft die Definition des „Inhabers“ wahrscheinlich nicht zu.Auch dies ist grundsätzlich nicht praktikabel: Wenn ein Inhaber auch der Eigentümer ist und sich weigert, auf die Verwahrungsmitteilung zu reagieren, die Token anschließend aber selbst verwendet, sind die Token nie wirklich verloren oder aufgegeben worden.
Was passiert mit nicht beanspruchtem Eigentum?Gelingt es dem Eigentümer nicht, den Eigentümer anhand der gebotenen Sorgfalt zu ermitteln, muss die Immobilie dem Staat übergeben werden.Nachdem ein Unternehmen Eigentum an den Staat übertragen hat, fungiert der Staat als Verwahrer und verwahrt die Gelder im Namen des Eigentümers auf unbestimmte Zeit.Landesregierungen können Vermögenswerte wie Aktien oder virtuelle Währungen zu Verwaltungszwecken in Bargeld umwandeln.Der ursprüngliche Eigentümer oder seine Erben können jederzeit beim Staat die Rückforderung des Wertes der Immobilie beantragen.
Gelten die nicht beanspruchten Eigentumsgesetze eines Staates automatisch für andere Staaten?Nicht so.Die Zuständigkeit richtet sich nach der Prioritätsregel „Texas vs. New Jersey“ des Obersten Gerichtshofs: 1) Erklärung gegenüber dem Staat, in dem sich die letzte bekannte Adresse des Eigentümers befindet;2) Übertragung an den Staat, in dem der Inhaber registriert ist, wenn die Adresse unbekannt ist oder der Staat nicht angibt, dass die spezifische Immobilie Eigentum des Staates ist.Der Schlüssel liegt darin, dass der Inhaber das Eigentum nur übertragen kann, wenn diese Art von Eigentum durch die Gesetze des Empfangsstaats abgedeckt ist (manchmal durch eine Sammelbestimmung für „immaterielles Eigentum“ oder eine Anforderung, in Bargeld liquidiert zu werden);Wenn kein Staat dies abdeckt oder die Gesetze dies ausdrücklich ausschließen, besteht kein Anspruch auf Dezentralisierung.Im weiteren Sinne handelt es sich bei BTC um einen globalen Vermögenswert, und Vorschriften über nicht beanspruchtes Eigentum sind das Produkt geografisch begrenzter Gesetze und haben keine internationale Wirkung – das heißt, sie können ausländische Inhaber oder Organisationen außerhalb der Gerichtsbarkeit nicht zwingen, sie zu deklarieren oder zu übertragen.
Infolgedessen können die betrieblichen Möglichkeiten von Salomon-Kunden eingeschränkt sein durch:
Regeln zur Zuständigkeitspriorität(Die letzte bekannte Adresse des Eigentümers hat Vorrang, gefolgt von der registrierten Adresse des Inhabers): Die „Nachfrist“ von OP_RETURN hat wahrscheinlich keine rechtliche Wirkung und es ist schwierig, den Geldtransfer allein zu erzwingen. Selbst wenn der Inaktivitätsstatus der gemeldeten Adresse die Standardruhezeit überschritten hat und es keinen rechtmäßigen „Inhaber“ gibt, begründet dieser Inaktivitätsstatus selbst keine Meldepflicht.Wenn die Vermögenswerte anschließend bei einer zentralen Depotbank hinterlegt werden, entstehen ab diesem Zeitpunkt in der Regel alle Verpflichtungen auf der Grundlage der Aufzeichnungen der Depotbank – obwohl einige staatliche Gesetze sachliche Streitigkeiten über den vorherigen Verzichtsstatus und die Zuständigkeit aufwerfen können.
legal„Halter„existiert(Zentralisierte Depotbank) vs. Selbstverwahrungsmodell (normalerweise keine Inhaber): Auch wenn die Mitteilung für selbstverwahrte Vermögenswerte wahrscheinlich nicht rechtsverbindlich ist, könnte ihre Absicht darin bestehen, faktische Voraussetzungen für zukünftige Ansprüche zu schaffen. Werden die Tokens von der vom Staub angegriffenen Adresse nachträglich bei einer zentralen Verwahrungsstelle hinterlegt, können Salomon-Kunden die vorherige Benachrichtigung zur Geltendmachung von Rechten nutzen, was zu einem Rechtsstreit zwischen Eigentümer und Depotbank über das Eigentum an den Tokens führt.
Räumlicher Geltungsbereich von Vorschriften: Da BTC ein globaler Vermögenswert ist und die US-amerikanischen Gesetze zu nicht beanspruchtem Eigentum keine internationale oder zwischenstaatliche Durchsetzungskraft haben, muss bei jedem Versuch, die Abdeckung zu maximieren, geprüft werden, ob lokale Vorschriften digitale Vermögenswerte von Staat zu Staat als verwertbares Eigentum anerkennen und Rechte nur in Bereichen geltend machen, in denen ein tragfähiger Rechtsrahmen besteht.Dies alles setzt voraus, dass die OP_RETURN-Benachrichtigung durch bestimmte Vorschriften zu nicht beanspruchtem Eigentum in einigen Gerichtsbarkeiten als rechtsgültige Form der Kontaktaufnahme oder Due Diligence anerkannt wird und dass die Token im Namen des Eigentümers verschoben werden können.Dies setzt weiterhin voraus, dass sowohl der Inhaber als auch der Eigentümer in diesen Gerichtsbarkeiten ansässig sind – ohne diesen geografischen Zusammenhang würden die Vorschriften nicht gelten.
Selbst gehostetBTCDurchsetzungslücken: Abgesehen von rechtlichen Fragen können Self-Custody-Tokens unter keinen Umständen ohne den entsprechenden privaten Schlüssel verschoben werden. Selbst wenn es rechtliche Möglichkeiten gäbe, selbst verwaltete Token als öffentliches Eigentum zu betrachten, gibt es keine Möglichkeit, den Geldtransfer ohne Zugriff auf die privaten Schlüssel durchzusetzen.Während ein Gericht die Übertragung des Bitcoins selbst nicht erzwingen kann, kann es eine bekannte Person (sofern der Eigentümer identifiziert werden kann) anweisen, die privaten Schlüssel herauszugeben.Dieses Heilmittel setzt jedoch die Existenz einer identifizierbaren und erreichbaren Person voraus;Für die meisten seit langem ruhenden oder anonymen Adressen besteht keine solche Verbindung, sodass der Token praktisch außerhalb der Reichweite eines Gerichtsbeschlusses liegt.Im Gegensatz zu einer Geldbörse, die auf dem Bürgersteig aufgehoben und zur Abholung aufbewahrt werden kann, kann Bitcoin überhaupt nicht „besitzt“ werden, ohne Zugriff auf den entsprechenden privaten Schlüssel (oder eines Tages auf einen Quantencomputer) zu haben.Jeder Versuch, dieses Rahmenwerk zu umgehen und verlassene Wallets über On-Chain-Benachrichtigungen in Privatbesitz umzuwandeln, hätte keinen Präzedenzfall und wäre rechtlich verdächtig, wenn auf die privaten Schlüssel nicht zugegriffen werden kann.
Diese rechtliche Grauzone kann jedoch das vom Kunden wahrgenommene Wertversprechen darstellen: Durch die Einrichtung eines On-Chain-Benachrichtigungsprotokolls durch einen Staubangriff glaubt er möglicherweise, dass er versuchen kann, eine neue Art von Anspruch auf der Grundlage neu eingeführter Vorschriften einzuleiten und dadurch das Eigentum an den „verlassenen“ Token zu beschlagnahmen.
Jüngste Rechtsstreitigkeiten verdeutlichen die Fragilität solcher Theorien.Im Fall Battle Born Investments vs. Department of Justice lehnte der Oberste Gerichtshof der USA spekulative Eigentumsansprüche für beschlagnahmte Bitcoin-Wallets ab und forderte stattdessen konkrete Beweise für die Kontrolle – also die Fähigkeit, Transaktionen durchzuführen oder den Zugriff auf private Schlüssel nachzuweisen.Analog dazu ist es unwahrscheinlich, dass eine OP_RETURN-Benachrichtigung allein das Eigentum begründet oder die Anteile eines Eigentümers enteignet.Derartige Mitteilungen stellen bestenfalls spekulative Ansprüche dar und verfügen nicht über die Rechtskraft, die das bestehende System des nicht beanspruchten Eigentums erfordert.Sie können jedoch darauf ausgelegt sein, eine Selbstauswahl herbeizuführen und ruhende Inhaber dazu zu veranlassen, sich entweder zu identifizieren oder ihre Token an einen rechtsverbindlicheren Aufbewahrungsort zu übertragen.
Kurz gesagt: Es ist unwahrscheinlich, dass eine Mitteilung sofort zu einem gültigen Anspruch führt, aber eine spätere Übertragung in eine Verwahrungsumgebung kann ein Sachverhaltsmuster schaffen, das zu einem Rechtsstreit in der Gerichtsbarkeit führen könnte, in der Salomon-Kunden ihre Rechte geltend machen.
10,abschließend
Basierend auf der Analyse aller On-Chain-Details und rechtlichen Elemente sollte der OP_RETURN-Staubangriff von Salomon Brothers nicht einfach als reines Verhaltensexperiment betrachtet werden. Vielmehr handelt es sich hierbei eher um einen Versuch, eine On-Chain-Aufzeichnung von Benachrichtigungen zu erstellen, um Beweise für mögliche Rechtsstreitigkeiten vorzubereiten.
Die Operation selbst weist jedoch herausragende Widersprüche auf: defekte Links in frühen Nachrichten;möglicherweise unzureichende Bekanntgabe bestimmter Adressen nach den selbsterklärten Maßstäben des Absenders; Behauptung, das Netzwerk vor technischen Angriffen zu schützen, ohne Adresstypen zu benachrichtigen, die theoretisch anfälliger für technische Angriffe sind; und Senden von Nachrichten an Adressen, die für weniger als die im Unclaimed Property Act festgelegte Frist inaktiv waren.
Trotz dieser Fehltritte verfügten die Betreiber offensichtlich über ein tiefes technisches Verständnis des Bitcoin-Netzwerks und ergriffen ausgefeilte Maßnahmen, um ihre Spuren zu verwischen und Nachrichten an eine große Anzahl von Adressen zu übermitteln.Obwohl der Fall Solomon in vielerlei Hinsicht immer noch rätselhaft ist, verdient er angesichts der neuen Rechtstheorien, die dieser mysteriöse Mandant letztendlich testen könnte, anhaltende Aufmerksamkeit von der globalen Bitcoin- und Krypto-Community.Bitte achten Sie genau auf die beiden wichtigen Zeitpunkte 10. Oktober und 5. November – wenn die von Salomon-Kunden festgelegte 90-Tage-Frist abläuft.
