當心Chia和Swarm挖礦木馬程序感染你的主機_ARM:門羅幣一臺礦機能挖多少

本文來自騰訊安全應急響應中心，作者宙斯盾流量安全分析團隊Pav1，星球日報經授權轉載。引文

2021年上半年，虛擬加密貨幣(Cryptocurrency，下文簡稱“虛擬貨幣”)價格屢創新高的新聞一次又一次的吸引著人們的目光，其中比特幣是大眾最為熟知的虛擬貨幣。特斯拉公司也在2月份高調宣布購入價值15億美元的比特幣，并計劃開始接受比特幣作為其公司電動車產品的付款方式。而特斯拉公司的CEO埃隆·馬斯克也在國外社交平臺公開表示大力支持狗狗幣，使其價格最高沖到0.73美元/枚，較年初暴漲近百倍。虛擬貨幣的瘋狂除了引來了大量的資本涌入，還吸引了不少黑產的關注。騰訊安全平臺部宙斯盾流量安全分析系統監測到在2021年上半年，與加密貨幣挖礦相關的惡意樣本數量明顯增加，并且隨著虛擬貨幣的種類不斷增加和技術的不斷發展，一類新型的挖礦方法逐漸出現在我們的視野當中。概述

相信絕大部分安全從業者除了對比特幣比較了解以外，對門羅幣也比較熟悉。門羅幣是一個創建于2014年4月的開源加密貨幣，采用了與比特幣不同的CryptoNote協議，使其更加適合使用CPU進行挖礦。門羅幣的這種特性導致了其被黑產大量使用，目前宙斯盾流量安全分析系統捕獲的大部分挖礦腳本都是在進行門羅幣的挖礦活動，一旦服務器惡意攻擊者被植入門羅幣挖礦腳本，最突出的表現就是CPU使用率大幅升高。

Circle小部分儲備金在硅谷銀行 80%USDC儲備為美國國債:3月10日消息，根據穩定幣發行商Circle今年1月審計報告內容顯示，Circle在美國多家受監管的金融機構中存有儲備金，其中包括硅谷銀行（Silicon Valley Bank）以及Silvergate等。該報告由德勤審查和證明。

此前報道，今日，硅谷銀行母公司SVB金融集團股價周四暴跌逾60%，盤后進一步下跌近20%。隨后，硅谷銀行部分網站癱瘓，數十家風投建議從其撤出資產。此前，Circle宣布已將Silvergate持有的一小部分USDC儲備轉移給其他銀行合作伙伴。[2023/3/10 12:53:44]

圖1門羅幣礦池頁面2021年6月份，宙斯盾流量安全分析系統開始監測到一類挖礦腳本，服務器在被植入該腳本后，CPU并沒有表現出極高的使用率，反而是硬盤被占用了極大的空間。深入了解后，發現是出現了一類以占用硬盤空間和網絡帶寬來進行挖礦的虛擬貨幣。這類虛擬貨幣的設計初衷是為了實現去中心化的存儲與通信的目標，比較有代表性的幣種是Filecoin、Chia、Swarm和Dfinity。我們在六月份監測到了Chia與Swarm相關的挖礦腳本，并且被感染量在幾天內從數十臺增加到了數百臺，其中Swarm占據了大部分。典型的Swarm挖礦腳本主要的流程如下所示：

分析：下一個牛市期間The Graph可能從當前水平飆升約521%:金色財經報道，InvestAnswers頻道的匿名主持人表示，區塊鏈數據索引協議The Graph ( GRT ) 是去中心化網絡中占主導地位的搜索引擎。“兩年前The Graph引起了我的注意，因為它是區塊鏈領域的谷歌，而Web3需要透明度。”

據InvestAnswers主持人稱，在下一個牛市期間，The Graph可能會從當前水平飆升約521%。“我相信The Graph在下一次牛市中可能會超過1美元。請記住，這可能會在六個月后、14個月后或一年半后開始。但我確實相信其價格會超過1美元，達到當前價格的7倍，這想想就有點瘋狂。這是有風險的，但回報是存在的。”（The Daily Hodl）[2023/2/13 12:03:14]

圖2Swarm挖礦腳本流程圖

OP代幣在Optimism第二次空投獎勵后下跌:金色財經報道，部分Optimism用戶今天收到了一部分OP代幣空投。據Optimism稱，共有11,742,277.10個OP代幣（2850萬美元）被空投到307,965個唯一地址。

Optimism表示，OP代幣分配旨在根據委托的OP數量獎勵用戶，并作為部分Gas費回扣。其中額外的獎勵適用于某些賬戶，這些賬戶在快照時委托了超過20個OP，或者在一定天數內委托了54,367個OP。那些在網絡上進行超過六個月的應用程序交易或花費超過20美元的Gas費的人也有資格獲得乘數。[2023/2/10 11:58:11]

圖3Swarm挖礦腳本-主函數Swarm簡介

Swarm項目的火爆離不開以太坊，Swarm項目是以太坊的官方項目之一，由以太坊基金會領投，并且是V神親自站臺的項目。不難看出，以太坊生態的繁榮造就了Swarm的項目的火爆，同時Swarm項目也可以為以太坊網絡中的應用提供存儲、帶寬等資源。目前以太坊網絡上的很多項目的數據都還是存儲在傳統中心化的云服務商的服務器中，一旦這些服務器出現問題，那么意味著用戶的數據和資產也會受到損失。這時，Swarm這類項目的優勢就體現了出來，能夠通過去中心化的存儲來解決這種問題。

Messari分析師：如果礦工最終遷移到ETC，哈希率將大幅上升，想保持盈利的唯一方法是ETC價格上漲:金色財經消息，Messari分析師Dunleavy發推特表示，多年來ETC鏈上交易量和用戶基本沒有變化，應用程序不存在。從基本指標來看這條鏈沒有任何變化，開發者活動也沒有產生有意義的改變。97%的GPU挖礦收益來自Eth，2%來自ETC。

ETC的每日rwd約為70萬，而Eth為2400萬。如果礦工最終遷移到ETC，哈希率將大幅上升，導致采礦差異增大，將大部分礦工擠出美元盈利，想保持盈利的唯一方法是ETC價格上漲。[2022/8/2 2:51:56]

圖4Swarm官方網站通過閱讀Swarm項目的白皮書可以發現，Swarm項目中的節點共同組成了一個巨大的P2P網絡，在這個網絡中，每個節點都能夠提供數據的存儲和內容分發的服務。簡單來說，如果想要使用Swarm來存儲數據，需要使用Swarm項目中的代幣BZZ，這個BZZ代幣也是Swarm挖礦的收益。如果一個節點能夠提供越大的存儲空間和帶寬，那么他也將獲得更多的BZZ代幣，也就是挖礦收益。類比現有的產品，Swarm的設計導致其更像實現了一個去中心化的CDN或者網盤，以往我們需要去各種CDN或者網盤提供商付費使用其CDN或者網盤服務，而現在我們只需要在Swarm上支付BZZ代幣來獲取類似CDN或者網盤一樣的服務。而我們的數據并不是唯一的保存在某一個服務提供商的服務器上，而是分散的存儲在多個地方，提高了數據的安全性，可以避免數據被監視的情況。那么這就很好理解挖掘Swarm代幣BZZ與挖掘門羅幣的不同，挖掘門羅幣需要消耗大量的CPU資源，從而會消耗大量的電力，而挖掘BZZ并不需要大量的計算資源，只需要占用存儲空間和帶寬，就能夠獲得收益，消耗的電力很小，是一種相對環保的挖礦方式。

Web3游戲開發平臺Machinations.io完成330萬美元A輪融資，Hiro Capital領投:5月25日消息，Web3游戲開發平臺Machinations.io宣布完成330萬美元A輪融資，本輪融資由Hiro Capital領投。融資資金將用于員工招聘及功能開發。

Machinations.io 專門用于解決設計游戲經濟系統的困難。它使游戲設計師能夠對游戲系統進行大規模模擬，一鍵獲得數百萬的游戲進程數據。[2022/5/25 3:41:38]

圖5Swarm節點之間的Kademlia網絡連接一個節點會至少與八個緊鄰接點形成全連接，從而形成一個巨大且聯系緊密的網狀結構特征與檢測雖然挖掘Swarm代幣BZZ并不占用大量的CPU資源，這并不意味著我們不能檢測其存在。在進行Swarm代幣BZZ的挖礦過程中，最主要的特征是消耗帶寬和硬盤空間，如果在日常使用電腦的過程中發現了硬盤空間突然被大量占用并且有一個程序占用了大量的網絡帶寬，則可以去查看下是否被植入了Swarm挖礦木馬。同時，Swarm挖礦還會有以下一些比較具體的特征，供網絡安全從業者來進行判斷：1.流量特征在進行門羅幣挖礦時，挖礦程序需要與礦池連接，并且將計算結果與區塊等信息與礦池同步，其中還包含了登錄的過程，所以門羅幣挖礦的流量特征很明顯。挖掘BZZ與門羅幣的原理完全不同，但是從官方的文檔中可以得知，挖礦程序必須連接到區塊鏈網絡中，官方推薦是自己搭建XDAI區塊鏈節點來連接入區塊鏈網絡，也可以使用公共的服務例如stake.getblock.io來連接到區塊鏈網絡中。Swarm挖礦程序與XDAI區塊鏈節點進行的通信流量如下：

圖6挖礦程序與交換斷端點的通信流量如上圖可以看出，在挖礦程序與交換端點進行通訊時，同樣采用了jsonrpc協議，這點與門羅幣挖礦相同，并且數據包的強特征明顯，可以針對數據包中的關鍵詞或者數據包中的結構進行檢測。2.文件特征Swarm項目官方所使用的挖礦軟件是Bee(https://github.com/ethersphere/bee)，這款軟件是使用go編寫的，支持linux、windows系統，并且支持ARM、X86等多種架構。通過運行官方的程序來搭建Swarm項目的挖礦節點，可發現運行程序后會在配置文件指定的data-dir目錄下創建以下三個目錄：Keys目錄：該目錄下會保存在節點初始化過程中產生的密鑰，是整個節點中最為重要的數據。Statestore目錄：該目錄下保存了當前節點的相關信息，例如區塊列表，SWAP余額等。Localstore目錄：該目錄下就是當前節點的區塊數據。3.端口特征Swarm項目在運行時默認使用1633，1634，1635這三個端口來進行數據交換。1633端口：是默認的HTTPAPI端口，可以通過HTTP協議訪問該端口來查看節點運行情況，上傳與下載文件等操作。1634端口：是默認的P2P端口，與外部的節點進行P2P的連接則需要通過該端口。1635端口：是默認調試端口，這個端口的開放必須要在配置文件中配置debug-api-enable為True才會打開。通過檢測上述端口的開放與連接情況也能了解主機是否運行了Swarm挖礦程序Bee。總結與展望在今年上半年，Swarm項目啟動了不需要質押就能夠挖礦的測試活動，吸引了大批的礦工參與，并且還出現了云服務器提供商販賣Swarm節點的情況。在6月22日，Swarm項目迎來了1.0主網的上線，將項目的熱度推向了高點。Swarm項目憑借著大V展臺和以太坊的生態加持，成為了目前分布式存儲區塊鏈項目中的佼佼者。由于Swarm的挖礦還存在著質押、最小磁盤空間和高速帶寬要求，并且幣價在主網剛上線之后也不穩定，可能在之后的流行程度要畫一個問號，但是只要有利潤存在，就有可能被黑產等非法攻擊者所利用，無論是個人還是公司都需要在日后針對此種類型的挖礦行為多加預防，防患于未然。

Tags：ARMWARSwarm門羅幣MarsfarmerWARCswarm幣未來前景門羅幣一臺礦機能挖多少

萊特幣價格