幽灵病毒肆虐矿场，矿工每小时损失2000元

文字 | 棘轮披萨

几个月来，一个无声的幽灵一直困扰着中国的比特币矿场。

神秘黑客向矿机植入病毒，向矿工勒索赎金。 但赎金只是一个幌子，黑客的真正目的是窃取矿机的算力。

一个拥有4000台矿机的矿场，可以在短短一个小时内为黑客带来2400元的利润。

病毒来源指向匿名人士发布的矿机固件。 而下载固件的矿工却毫不知情，甚至再次传播病毒。

病毒入侵事件暴露了众多矿场的安全隐患。 而且这个病毒还衍生出了很多变种。 矿山危机仍在继续。

01 中毒

矿工勒索软件在矿工眼中并不陌生。 这一次，矿工cC的矿山被击中了。

1月5日晚，cC矿场的比特大陆矿机管理界面突然变成了绿色画面。 图片中间是一只蚂蚁，两边各有一个矿工镐。

hAnt病毒/受访者拍摄的照片

该病毒称为 hAnt。 很明显，病毒的攻击目标是比特大陆的蚂蚁矿机。

单击此绿色图片可查看黑客的消息。 黑客用中英文告诉矿工，只有两种方法可以避免被攻击：第一，以固件补丁的形式将病毒传播到其他矿场至少1000台机器上； 第二，给黑客 10 个比特币。

黑客评论/图片由受访者拍摄

黑客威胁说，如果他不这样做，他将关闭蚂蚁矿机的风扇和过热保护，“烧毁你的矿机甚至你的房子”。

但在现实中，恐怕没有矿工真的会把币给黑客——这种病毒问题不难解决。

“第一个方案是刷矿机的SD卡，也就是刷固件。” cC告诉区块链记者，这相当于用新的操作软件更换了矿机。 这是解决问题最直接的方法。

但是要一一闪现需要很多时间。 他用了 4 天时间刷写了他的 Antminer 的所有 SD 卡。 矿山瘫痪期间，他损失了数万元。

据cC分析，本次矿机中毒的原因应该是客户的矿机跑到其他矿场刷了带病毒的固件。

如果刷SD卡不行，他还有其他选择：更换矿机的字节库，甚至是控制板，“不行就卖矿机”。

早在2013年，就有黑客利用病毒劫持他人电脑进行秘密挖矿。 然而，针对大型矿场矿机的攻击事件，也是不久前才开始出现的。

“从2018年8月到10月，问题开始集中爆发。” Mine Ocean Association COO于洋告诉区块链记者。

矿工王昭说，他见过非常厉害的矿机病毒。 可以在半夜偷偷把一个矿场4000台矿机的挖矿地址改成黑客的地址。

一个小时，这个矿山可以为黑客赚取2400元。 一天，也就是5.76万元。

由于利润空间巨大，矿场的“病毒挖矿”可能会长期存在。

02 祸根

“我们一直在追踪这种病毒有一段时间了。” 雷比特矿池创始人蒋卓尔在谈及cC矿场病毒时向区块链记者表示。

根据江卓尔掌握的资料，目前蚂蚁比特币矿机S9、T9，甚至莱特币矿机L3+都有感染该病毒的记录。

“在矿机领域，Avalon矿机需要通过‘树莓派’来控制，后者本质上是一台搭载Linux系统的微型电脑。” 姜卓尔说，“蚂蚁矿机内置了控制板，相当的集成了Linux系统，这也给病毒带来了可乘之机。”

因此，蚂蚁矿机和家用电脑、商用电脑一样，都可能感染病毒。

这些病毒从何而来？

姜卓尔和于洋都认为，病毒来源极有可能来自匿名人士发布的矿机超频固件。

“超频”一词最早出现在骨灰级电脑玩家的口中。

“芯片有一个重要指标，叫主频。同样技术的芯片，主频越高，性能越强。” 游戏玩家王朔表示比特币矿场在哪里，一般情况下，厂商都会对芯片的主频设置一个上限。 玩家通过技术手段突破这个上限，这就是所谓的“超频”。

但绝大多数厂商都反对用户对芯片进行超频。 “就像运动员服用了兴奋剂一样，虽然成绩提高了，但是副作用也很可怕。” 王朔说道。

具体到矿机上，超频可以提升矿机的算力。 以蚂蚁S9为例，更新超频固件可以将S9的算力从13.5T提升到18T，算力提升了33.33%。 因此，矿工刷机超频固件是很常见的事情。

但与此同时，矿机的功耗也会大幅增加，矿机供电和散热系统的负担会增加，矿机芯片的寿命也会缩短。 “所以大部分矿机厂商都不鼓励超频。” cC说：“网上的超频固件都是‘民间专家’开发的。”

这就给了黑客可乘之机：固件是写在硬件内部的程序，低于操作系统。 如果固件“有毒”，黑客就可以对矿机为所欲为。

这种病毒具有极强的传染性。 “一开始，可能有一台或多台带有病毒的超频固件的矿机。当它们托管在不同的矿场时，病毒会迅速渗透到每个矿场中。” 于洋说，“只要一台病毒矿机进入矿场，几分钟之内，整个矿场的机器都会被感染。”

于洋说，这些病毒的发布者一般都在国外，多在东欧。

而粗心的矿工也会为病毒入侵留下空隙。 “矿机和路由器出厂时都有默认密码，如果矿工不修改默认密码，这些矿工就像在病毒面前裸奔一样。” 姜卓尔说道。

不使用来路不明的第三方固件，定期修改路由器和矿机的登录密码，这或许是矿工​​防范病毒入侵的最佳方式。

“不仅仅是改密码，现在很多矿场大量使用二手矿机，一些矿厂老板急于返璞归真，不杀毒不刷机就把矿机上架了。” “这可能会导致矿机病毒的传播。”Coinin矿池运营经理冯冲告诉区块链记者。

冯崇认为，如果发现矿机感染病毒，首先要确定感染源，然后尽快将矿机按网段或电源隔离，然后分组进行防病毒或闪烁。

03攻防战

“这一次，大部分矿机在被‘感染’后并没有立即发起攻击，而是在暗中继续传播病毒，黑客根据一定的策略在一定程度上控制了病毒的攻击时间。” 在姜卓尔看来，这个事件的幕后黑手非常狡猾。

他表示，从技术分析来看，该病毒的开发者应该不是中国人，但该超频固件的主要分发渠道是国内的百度网盘。

“这意味着两种可能：一种是黑客故意针对矿场集中的中国；另一种是中国矿工在发现超频固件被感染之前无意中助长了病毒的传播。” 姜卓尔说道。

最让江卓尔惊奇的是，这个病毒也在不断升级进化，现在已经进化出多个版本：

“目前新版本的病毒甚至可以监控矿工修改密码的过程，并记录新密码。”

这意味着如果矿工没有彻底清除病毒，即使修改了矿工的默认密码，病毒仍然可以卷土重来。

矿工与黑客的攻防战仍在继续，但隐藏在暗处的黑客显然更加活跃。

最让矿工恼火的是，黑客会选择难以察觉的时间段，比如通常在半夜偷偷切换账户。 也有黑客只针对部分矿机比特币矿场在哪里，每天只窃取几个小时的算力，让人难以察觉。

“病毒挖矿”出现后，新的商机也随之而来——许多矿场管理软件的卖家开始将“杀毒”作为宣传口号。

矿工王昭也在开发矿场管理软件。 他自称开发了业界唯一的ASIC矿机管理软件，可以自动检测矿机运行状态，批量管理矿机。

“一旦矿机算力异常，会第一时间通知矿工。” 王昭说，“已经有七万到八万台矿机在使用我们的软件。”

但是，矿机管理软件并不能保证矿机的绝对安全，甚至有可能成为黑客新的攻击点。

一位矿圈资深人士向区块链记者透露，2017年，一家大型矿业集团遭遇黑客“针对性攻击”。 当时黑客的切入点是该团伙自主研发的矿机管理软件。

“这可能是矿圈史上最大规模的黑客攻击，比特币的算力因此下降了3%，”他说。

潜伏在暗处的黑客让比特币玩家担忧不已。 甚至有人担心比特币网络会不会因为突然遭到黑客攻击而崩溃。

“这很难发生，比特币现在的算力还很分散，矿山很多，黑客要查出矿山的网络位置已经很困难了。” 姜卓尔说道。

尽管有黑客的诡计，但今天比特币的去中心化结构为整个网络建立了不可动摇的稳定性。

病毒或许不会毁掉比特币，但对于矿工来说，大量矿机中毒仍然是个头疼的问题。

一个系统真正的漏洞永远是人。 矿工只有防患于未然，才能保护矿机的安全。

*本文部分受访者为化名。

本文为原创稿件