IPFS矿机托管托管矿机遭遇采矿贼,不翼而飞的币谁负责?
你的计算机,他的提款机
黑客“xiaoba”被警察盯上了。
几个月来,这家伙四处传播木马,疯狂榨取肉鸡(被黑的机器)里的每一滴价值。
一旦中了他的招,机器将受尽折磨。先是被挂上各种垃圾广告,然后主机CPU使用率飙升,成为黑客挖取虚拟币的“矿工”。
同时,剪切板还会被监控,一旦进行虚拟币交易,收款人地址会替换成黑客的。最后,木马还会锁定电脑来勒索,榨干最后一点价值。当警方定位到黑客“xiaoba”时,发现他只是个未成年的小男孩。
没错,一个未成年的小男孩就可以让你的机器为他所用,为他产收益。
浏览即挖矿,小网站这样,大网站也一样
国际著名的BT资源下载网站海盗湾最近被爆出丑闻,其网站内置了门罗币的挖矿代码。只要用户打开海盗湾的网站进行浏览、操作,网站就会调用电脑或手机的算力资源来进行挖矿,然后用户的手机或电脑的温度就会在十几秒内瞬间升高几十度,电脑也会变得很卡。
海盗湾的理由是广告惹人烦,并且是大张旗鼓地赚钱,所以他们不想靠广告获得收入,可是又需要钱来运营网站,所以才内置了挖矿代码来绑架用户的电脑挖矿,这样的赚钱方式不仅悄无声息而且利润可观。
一些流量少的网站依靠这个方法,一天可以多赚几十块人民币,而流量多的网站一天则可以多赚一万多人民币。而这些钱都是损坏我们的电脑,利用我们电脑的性能和算力资源来赚取的。
前不久高考结束,很多高校的网站都被黑客入侵植入了挖矿代码,这样考生在查询成绩的时候电脑就会被绑架用来挖矿。
黑客对这种查分网站是情有独钟,因为考生们为了能第一时间查到成绩会长时间打开网站,山东、河北、黑龙江多所重点大学的官网都有被黑客植入过挖矿代码。
这样的现象在色情网站上可谓是屡见不鲜,根据统计,在全球排名前一万的网站中,有220家网站在做这种损人利己的勾当,全网有超过三万家的网站内置了挖矿代码,这些被植入了挖矿代码的网站有68%为色情网站。
除了电脑,手机也不能幸免
在Adguard(一款广告拦截程序)统计的数据里可以看到,全球约有5亿台电脑曾被绑架挖矿。那么,你会说,我很少用电脑上网,我是个手机党。是不是这样的情况只会出现在电脑上,手机就相安无事呢?
非也非也!
来看一组数据:根据360烽火实验室发布的《2017年中国手机安全状况报告》显示,从2013年开始至2018年1月,360烽火实验室共捕获安卓平台挖矿木马1200多个,在这里面2018年1月捕获的挖矿木马就接近400个,占全部安卓平台挖矿类木马的三分之一。
矿场是块肥肉,缺乏安全保障就成待宰羔羊
上个月26号,FAB(发币)矿池嗨池宣布,其位于阿里云端的服务器6月22日下午经历了有组织的黑客攻击,矿池钱包内近10万FAB被盗,内部文件被删除一空,包括钱包及密码、数据库、程序文件等,团队经过4天努力仍无法找回,即日起,矿池将永久关闭。
至于给矿工造成的上百万元的损失,嗨池无力偿还,只有将发链(Fast Access Blockchain network,FAB)上还未解锁的手续费(金额未透露)全部补偿给矿工。
历史上,矿池失陷最为恶性的两次是,2014年8月,有劫机者利用漏洞将比特币矿工的连接重定向到自己控制的采矿池,从而收集了83000美元的矿工利润。2015年3月,几个大矿池AntPool,BW.com,NiceHash,CKPool和GHash.io等遭遇DDOS攻击,致使服务中断、部分区块链项目全网算力下降。
最近闹得沸沸扬扬的一件事,相信很多朋友都已经知道了。
国内的一个IPFS爱好者团队自行搭建了服务器,准备跑IPFS,因为Filecoin一直没有上线,所以先挖门罗币和storj。挖了一段时间,一直都相安无事。最近突然发现矿场里所有的机器,都被别人植入木马挖矿程序,钱包地址也被修改了。
辛苦挖矿小半年,一看回到解放前,都为黑客做了嫁衣裳。
很多人会质疑,钱包地址被修改了,难道用户不知情吗?倘若黑客想做的是一锤子买卖,那么他一次性掳走你所有的币,你当然会发觉。但是,倘若黑客是个懂得细水长流的黑客,每天只掳走你十分之一的币,你还能那么轻易发觉吗?
如果真的出现这个情况,矿场会负责吗?大概率告诉你,不会!
据了解,目前市面上所谓的矿场多数不具备安全挖矿的条件,更不具备对抗黑客的能力,甚至可以说,他们严重缺乏这方面的安全意识。
与国内数一数二的安全机构达成合作自可确保无虞,但这需要花费较大的费用,舍不舍得花这个钱是一回事,舍得花钱找到的安全顾问是否足够安全又是一回事,何况,抱着天塌下来也不一定砸到我的侥幸心理的人比比皆是。
所有,你还敢随随便便就把矿机托管在一家名不见经传、毫无安全意识的矿机厂商那吗?
托管前,起码先签个安全协议和盗失赔偿吧!
IPFS/Filecoin挖矿比Bitcoin更难保证安全
IPFS的逻辑比BITCOIN复杂,比特大陆的矿机可以认为是嵌入式系统,只跑自己的程序,但IPFS的系统,基本都是Linux或者Windows,是一个通用的系统,安全问题会更严重。
对于IPFS来说,可能有几个方面。一个是系统漏洞的利用。包括操作系统漏洞,比如,现在的矿机大部分都是在Linux或者Windows上跑,这些操作系统和常用的软件包可能有漏洞,导致黑客入侵,修改系统配置,最关键的是修改钱包地址,或者植入黑客的挖矿程序;还有IPFS/FILECOIN自己代码的漏洞,这个可能是黑客重点看中的地方。君不见,现在安全专家有多吃香,专门出来做区块链安全的高手大有人在。
目前,有许多传统网络安全的厂商进入区块链安全领域。也有专门为区块链安全成立的创业公司,比如安全行业教父级人物余弦所创立的慢雾科技。一直致力于做分布式存储的上海储迅CTO冷波曾提到,区块链的安全需要考虑的方面更多,比如有基于Linux服务器的传统安全问题,也有用户通过电脑或者手机访问各种客户端(钱包、交易所、矿机管理工具等)的安全,还有公链代码或者智能合约本身的漏洞所造成的安全问题。每一类问题对于厂商和用户来说都是巨大的挑战。
具体到存储挖矿领域,每台矿机如果配置公网IP,一般来说能更好地获取收益和提供服务,但带来的安全问题却非常多;如果机器都运行在内网中,获得的收益和提供的服务质量也会受到影响。如果采用传统的企业级安全方案,其整体开销巨大,相对追求性价比的矿机来说,许多客户可能从直觉上就无法承受,甚至说,就挖个矿,还要考虑那么多干嘛。因此,为IPFS相关项目提供完整的安全解决方案,并不容易,但却不得不做。数据存储和区块链的世界中,安全是永远的话题,也是重中之重。
还有一个是疏于管理的问题,比如默认密码没有修改,密码安全强度太低,被撞库攻击。另外,一些传统的攻击,比如DDOS,也可能会有影响。
某种程度上来讲,数字货币的出现改变了一些黑产的敛财方式。黑客为什么对区块链项目如此感兴趣,如此大费周章?因为可以直接来钱:黑进系统,修改一个钱包地址,或者植入自己的挖矿程序即可。黑客动力更大,所以遇到的问题可能更多。区块链的安全一定会比传统企业和古典互联网面临更棘手的问题。
看看市面上这些做IPFS矿场的企业,基本没有安全预算,这在未来将会是一个很大的隐患。
你,还敢随便托管吗?
(本文内容转自星鉴网)
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。