區塊鏈
挖礦,比特幣,EOS,以太坊

IPFS相關|礦機托管在礦場,挖的幣卻進了黑客的錢包,誰負責?

 

你的計算機,他的提款機

 

黑客“xiaoba”被警察盯上了。

 

幾個月來,這家伙四處傳播木馬,瘋狂榨取肉雞(被黑的機器)里的每一滴價值。

 

一旦中了他的招,機器將受盡折磨。先是被掛上各種垃圾廣告,然后主機CPU使用率飆升,成為黑客挖取虛擬幣的“礦工”。

 

同時,剪切板還會被監控,一旦進行虛擬幣交易,收款人地址會替換成黑客的。最后,木馬還會鎖定電腦來勒索,榨干最后一點價值。當警方定位到黑客“xiaoba”時,發現他只是個未成年的小男孩。

 

沒錯,一個未成年的小男孩就可以讓你的機器為他所用,為他產收益。

 

 

瀏覽即挖礦,小網站這樣,大網站也一樣

 

國際著名的BT資源下載網站海盜灣最近被爆出丑聞,其網站內置了門羅幣的挖礦代碼。只要用戶打開海盜灣的網站進行瀏覽、操作,網站就會調用電腦或手機的算力資源來進行挖礦,然后用戶的手機或電腦的溫度就會在十幾秒內瞬間升高幾十度,電腦也會變得很卡。

 

海盜灣的理由是廣告惹人煩,并且是大張旗鼓地賺錢,所以他們不想靠廣告獲得收入,可是又需要錢來運營網站,所以才內置了挖礦代碼來綁架用戶的電腦挖礦,這樣的賺錢方式不僅悄無聲息而且利潤可觀。

 

一些流量少的網站依靠這個方法,一天可以多賺幾十塊人民幣,而流量多的網站一天則可以多賺一萬多人民幣。而這些錢都是損壞我們的電腦,利用我們電腦的性能和算力資源來賺取的。

 

 

IPFS相關|礦機托管在礦場,挖的幣卻進了黑客的錢包,誰負責?

 

 

 

前不久高考結束,很多高校的網站都被黑客入侵植入了挖礦代碼,這樣考生在查詢成績的時候電腦就會被綁架用來挖礦。

 

黑客對這種查分網站是情有獨鐘,因為考生們為了能第一時間查到成績會長時間打開網站,山東、河北、黑龍江多所重點大學的官網都有被黑客植入過挖礦代碼。

 

這樣的現象在色情網站上可謂是屢見不鮮,根據統計,在全球排名前一萬的網站中,有220家網站在做這種損人利己的勾當,全網有超過三萬家的網站內置了挖礦代碼,這些被植入了挖礦代碼的網站有68%為色情網站。

 

 

除了電腦,手機也不能幸免

 

在Adguard(一款廣告攔截程序)統計的數據里可以看到,全球約有5億臺電腦曾被綁架挖礦。那么,你會說,我很少用電腦上網,我是個手機黨。是不是這樣的情況只會出現在電腦上,手機就相安無事呢?

 

非也非也!

 

來看一組數據:根據360烽火實驗室發布的《2017年中國手機安全狀況報告》顯示,從2013年開始至2018年1月,360烽火實驗室共捕獲安卓平臺挖礦木馬1200多個,在這里面2018年1月捕獲的挖礦木馬就接近400個,占全部安卓平臺挖礦類木馬的三分之一。

 

 

礦場是塊肥肉,缺乏安全保障就成待宰羔羊

 

上個月26號,FAB(發幣)礦池嗨池宣布,其位于阿里云端的服務器6月22日下午經歷了有組織的黑客攻擊,礦池錢包內近10萬FAB被盜,內部文件被刪除一空,包括錢包及密碼、數據庫、程序文件等,團隊經過4天努力仍無法找回,即日起,礦池將永久關閉。

 

至于給礦工造成的上百萬元的損失,嗨池無力償還,只有將發鏈(Fast Access Blockchain network,FAB)上還未解鎖的手續費(金額未透露)全部補償給礦工。

 

歷史上,礦池失陷最為惡性的兩次是,2014年8月,有劫機者利用漏洞將比特幣礦工的連接重定向到自己控制的采礦池,從而收集了83000美元的礦工利潤。2015年3月,幾個大礦池AntPool,BW.com,NiceHash,CKPool和GHash.io等遭遇DDOS攻擊,致使服務中斷、部分區塊鏈項目全網算力下降。

 

 

IPFS/Filecoin 礦場失陷歷史會重演嗎?

 

最近鬧得沸沸揚揚的一件事,相信很多朋友都已經知道了。

 

國內的一個IPFS愛好者團隊自行搭建了服務器,準備跑IPFS,因為Filecoin一直沒有上線,所以先挖門羅幣和storj。挖了一段時間,一直都相安無事。最近突然發現礦場里所有的機器,都被別人植入木馬挖礦程序,錢包地址也被修改了。

 

辛苦挖礦小半年,一看回到解放前,都為黑客做了嫁衣裳。

 

很多人會質疑,錢包地址被修改了,難道用戶不知情嗎?倘若黑客想做的是一錘子買賣,那么他一次性擄走你所有的幣,你當然會發覺。但是,倘若黑客是個懂得細水長流的黑客,每天只擄走你十分之一的幣,你還能那么輕易發覺嗎?

 

 

IPFS相關|礦機托管在礦場,挖的幣卻進了黑客的錢包,誰負責?

 

 

 

如果真的出現這個情況,礦場會負責嗎?大概率告訴你,不會!

 

據了解,目前市面上所謂的礦場多數不具備安全挖礦的條件,更不具備對抗黑客的能力,甚至可以說,他們嚴重缺乏這方面的安全意識。

 

與國內數一數二的安全機構達成合作自可確保無虞,但這需要花費較大的費用,舍不舍得花這個錢是一回事,舍得花錢找到的安全顧問是否足夠安全又是一回事,何況,抱著天塌下來也不一定砸到我的僥幸心理的人比比皆是。

 

所有,你還敢隨隨便便就把礦機托管在一家名不見經傳、毫無安全意識的礦機廠商那嗎?

 

托管前,起碼先簽個安全協議和盜失賠償吧!

 

 

IPFS/Filecoin挖礦比Bitcoin更難保證安全

 

IPFS的邏輯比BITCOIN復雜,比特大陸的礦機可以認為是嵌入式系統,只跑自己的程序,但IPFS的系統,基本都是Linux或者Windows,是一個通用的系統,安全問題會更嚴重。

 

對于IPFS來說,可能有幾個方面。一個是系統漏洞的利用。包括操作系統漏洞,比如,現在的礦機大部分都是在Linux或者Windows上跑,這些操作系統和常用的軟件包可能有漏洞,導致黑客入侵,修改系統配置,最關鍵的是修改錢包地址,或者植入黑客的挖礦程序;還有IPFS/FILECOIN自己代碼的漏洞,這個可能是黑客重點看中的地方。君不見,現在安全專家有多吃香,專門出來做區塊鏈安全的高手大有人在。

 

目前,有許多傳統網絡安全的廠商進入區塊鏈安全領域。也有專門為區塊鏈安全成立的創業公司,比如安全行業教父級人物余弦所創立的慢霧科技。一直致力于做分布式存儲的上海儲迅CTO冷波曾提到,區塊鏈的安全需要考慮的方面更多,比如有基于Linux服務器的傳統安全問題,也有用戶通過電腦或者手機訪問各種客戶端(錢包、交易所、礦機管理工具等)的安全,還有公鏈代碼或者智能合約本身的漏洞所造成的安全問題。每一類問題對于廠商和用戶來說都是巨大的挑戰。

 

具體到存儲挖礦領域,每臺礦機如果配置公網IP,一般來說能更好地獲取收益和提供服務,但帶來的安全問題卻非常多;如果機器都運行在內網中,獲得的收益和提供的服務質量也會受到影響。如果采用傳統的企業級安全方案,其整體開銷巨大,相對追求性價比的礦機來說,許多客戶可能從直覺上就無法承受,甚至說,就挖個礦,還要考慮那么多干嘛。因此,為IPFS相關項目提供完整的安全解決方案,并不容易,但卻不得不做。數據存儲和區塊鏈的世界中,安全是永遠的話題,也是重中之重。

 

還有一個是疏于管理的問題,比如默認密碼沒有修改,密碼安全強度太低,被撞庫攻擊。另外,一些傳統的攻擊,比如DDOS,也可能會有影響。

 

某種程度上來講,數字貨幣的出現改變了一些黑產的斂財方式。黑客為什么對區塊鏈項目如此感興趣,如此大費周章?因為可以直接來錢:黑進系統,修改一個錢包地址,或者植入自己的挖礦程序即可。黑客動力更大,所以遇到的問題可能更多。區塊鏈的安全一定會比傳統企業和古典互聯網面臨更棘手的問題。

 

看看市面上這些做IPFS礦場的企業,基本沒有安全預算,這在未來將會是一個很大的隱患。

 

你,還敢隨便托管嗎?

贊(0)

評論 搶沙發

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
p3试机号99