有关区块链和数字货币的安全问题最近也越来越受关注,而日本最近也曝出了近期该国内最大的一笔虚拟币被盗案。
据悉,日本最大比特币交易所之一Coincheck发布声明,称交易所的“新经币”(NEM)被非法转移至其他交易所。Coincheck表示,没有发现其他虚拟货币存在相似问题,但也不知晓新经币是如何丢失的。当天,Coincheck宣布暂停所有虚拟货币提现,同时暂停除了比特币之外所有的代币交易。
该事件发生之后,日本金融厅(FSA)向日本全国约30家经营虚拟货币交易所的公司发出通知,警告可能还会发生更多的类似事件,提醒交易所做好安全措施。而Coincheck宣布将使用日元对用户进行赔偿,补偿价格为88.549日元乘以拥有的数量,补偿金额总计达463亿日元,约合4.26亿美元。
自区块链受业内追捧以来,其中心化、共识机制等等特性时常被支持者挂在嘴边,但鲜有人对其安全提及一二。
从目前各类比特币被盗案来看,显然其安全是很值得重视的,不过,不要以为安全只局限在虚拟币防盗方面,作为生产虚拟币的源头,挖矿同样存在着安全漏洞。
不知道各位是否还记得,去年九月,盗版下载种子站“海盗湾”(The Pirate Bay)
的网页被发现内置了虚拟币的挖矿程序,用户打开网站时其登陆设备即成为网站的挖矿设备,用比较洋气的说法就是“众包挖矿”。
此事被曝光之后,在巨大的舆论压力面前,海盗湾管理员出面认错,称网站需要生存,他们在“测试”这种新的收入方式,因为网站上堆积如山的广告已经备受诟病。
遗憾的是,这种事在去年发生了多次。
本周,YouTube的网页居然也被发现存在内置挖矿代码的现象,据悉,在 YouTube
网页的右上角位置,视频播放控件的右侧、推荐视频的上方,展示的是来自于 Google DoubleClick
广告平台的广告。涉事的广告上没有内容,一片空白,显得十分蹊跷。
调查后研究人员发现,这个广告里的 JavaScript 代码里,包含了一段挖矿脚本,而这一脚本挖的虚拟币名为Monero。
像上面这些,统称为挖矿劫持,也就是通过内置脚本让使用者的设备成为对方的挖矿工具,从而实现“云挖矿”。由于网页使用的是 JavaScript
,这种程序语言可以实现静默运行,没有提示,不需要安装,更不需要你的同意,因此,做起坏事来跟隐蔽,这种方式也是目前最为流行的挖矿劫持方式。
唯一能被用户感知的,可能就是突然增加的CPU、GPU占用率。
如果想预防,小白用户也只能通过这一现象来判断。比如风扇狂转,这是CPU 利用率提高的一个表象,然后通过任务管理器(Mac可使用自带的活动监视器
)观察CPU的使用率。
此外,如果你能在网页代码中找到Coinhive 的字样也要小心,因为
Coinhive自称是一个分布式挖矿服务的供应商,但安全人士将其定性为恶意软件。
一旦网页中植入Coinhive 代码,访客打开网页后,每秒可以进行 20
或更多次哈希计算(挖矿程序)。打开网页的人越多,挖到的Monero越多。说起Coinhive,海盗湾事件爆发时正式前者发布第一代分布式数字货币挖掘服务的时候,该事件也成了它的成名作。
对于挖矿劫持所得收益来说,Coinhive和网站三七开。但独立开发者 Maxence Cornet 曾经做过一个测试,一个日均 1000
独立访客,每人每 session 50 秒左右的网站,在 60 个小时内产生了 0.00947 个Monero,折合每天 36
美分,连一个汉堡都买不了。
如此低收益高风险的事情,想必大多数黑客也是抱着玩票的心态尝试一下,但是,小网站收益不尽人意,但像YouTube这种夹杂大量视频内容的巨型网站,流量客观,挖矿劫持所得收益可能要用另一种眼光来看待。
既然程序运行如此隐蔽,单靠风扇和CPU占用率等判断有些后知后觉,普通用户也可以选择一些自带隔离器的浏览器,将恶意程序堵在门外。
