幽靈病毒肆虐礦場,礦工每小時損失2000元
文 | 一本區塊鏈 棘輪 比薩
數月以來,一個悄無聲息的幽靈,正在中國的比特幣礦場間肆虐。
一個神祕黑客,將病毒植入礦機,以此向礦工勒索贖金。但贖金只是一個幌子,黑客真正的目的,是劫走礦機的算力。
一個有4000臺礦機的礦場,僅1個小時,就能為黑客帶來2400元的利潤。
病毒的源頭,則指向一個由匿名者釋出的礦機韌體。下載韌體的礦工對此毫不知情,甚至再次將病毒傳播。
病毒入侵事件,暴露出了許多礦場的安全隱患。而這個病毒,已經衍生出了多個變種。礦場的危機,仍在持續。
01中毒
礦機勒索病毒,在礦工眼裡已經不新鮮了。這一次,礦工cC的礦場中了招。
1月5日晚,cC礦場的位元大陸礦機管理介面,突然變成了一張綠色的圖片。圖片中間是隻螞蟻,兩邊分別有一把礦工鎬。
hAnt病毒/圖片由受訪者拍攝
這個病毒名叫hAnt。很顯然,病毒的目標,是位元大陸的螞蟻礦機。
點選這張綠色圖片,可以看到黑客的留言。黑客用中英兩種語言告訴礦工,要免於被攻擊,只有兩個辦法:一,將病毒以韌體補丁的方式,傳染給其他礦場的至少1000臺機器;二,給黑客打10個比特幣。
黑客留言/ 圖片由受訪者拍攝
黑客揚言,不這樣做的話,自己就將關閉螞蟻礦機的風扇和過熱保護,“燒燬你的礦機甚至房子”。
但在現實中,恐怕沒有哪個礦工會真的給黑客打幣——這種病毒問題,解決起來並不難。
“第一個解決辦法,是刷礦機的SD卡,即韌體。” cC告訴一本區塊鏈記者,這相當於給礦機換一個新的操作軟體。這是解決問題最直接的方式。
但要一臺臺刷機,很花時間。他用了4天時間,才把自己螞蟻礦機的SD卡全部刷了一遍。在礦場癱瘓的這段時間裡,他損失了幾萬元。
cC分析,此次礦機中毒,原因應該是客戶的礦機在別的礦場跑過,刷了帶病毒的韌體。
如果刷SD卡無效,他還有別的辦法:換掉礦機的位元組庫,甚至控制板,“實在不行,就把礦機賣了”。
早在2013年,就有黑客利用病毒,劫持他人電腦隱祕挖礦。但針對大型礦場礦機的攻擊,卻是不久前才開始出現的。
“在2018年8月到10月,問題開始集中爆發。”礦海會COO俞陽告訴一本區塊鏈記者。
礦工王釗則表示,自己見過一種很厲害的礦機病毒。它能在半夜,偷偷把一個礦場4000臺礦機的挖礦地址,改成黑客的挖礦地址。
一個小時,這個礦場就能為黑客賺到2400元。一天,就是5.76萬元。
由於存在巨大的利潤空間,針對礦場的“病毒挖礦”,也許將長期存在。
02禍根
“我們追蹤這個病毒已經有一段時間了。” 當談及cC礦場的病毒時,萊位元礦池創始人江卓爾對一本區塊鏈記者表示。
根據江卓爾掌握的資料,目前,螞蟻比特幣礦機中的S9、T9,甚至萊特幣礦機L3+,都有這種病毒的感染記錄。
“在礦機界,阿瓦隆礦機需要用‘樹莓派’控制。後者本質上是一種Linux系統的微型電腦。”江卓爾表示,“而螞蟻礦機內建了控制板,相當於集成了Linux系統,這也就給病毒帶來了可乘之機。”
所以,螞蟻礦機與家用和商用電腦一樣,有可能遭到病毒入侵。
這些病毒的源頭在哪裡?
江卓爾和俞陽都認為,病毒的源頭,大概率來自一個匿名人士釋出的礦機超頻韌體。
“超頻”一詞,最早出現在骨灰電腦玩家口中。
“晶片有一個重要指標,叫做主頻。相同工藝的晶片,主頻越高,效能也就越強。”遊戲玩家王碩表示,一般情況下,廠商會為晶片設定一個主頻上限。玩家們通過技術手段突破這個上限,就叫“超頻”。
但絕大多數廠商,都反對使用者對晶片進行超頻。“這就像運動員吃興奮劑一樣,雖然成績提升了,但副作用也十分可怕。”王碩說。
具體到礦機上,超頻可以提升礦機算力。以螞蟻S9為例,刷超頻韌體可以將S9算力從13.5T提升到18T,算力增幅達33.33%。因此,礦工刷超頻韌體的現象非常普遍。
但與此同時,礦機的功耗也會大幅提升,礦機電源、散熱系統負擔加重,礦機晶片的壽命會縮短。“所以礦機廠商大多不鼓勵超頻。”cC說,“網路上的超頻韌體,都是‘民間高手’開發。”
這就給了黑客可乘之機:韌體是寫入硬體內部的程式,較作業系統而言更加底層。如果韌體“帶毒”,黑客便可以對礦機為所欲為。
這種病毒具有極強的傳染性。“最開始可能是有一臺或多臺礦機,刷了帶病毒的超頻韌體。它們在不同的礦場中託管時,病毒就迅速滲透到各個礦場。”俞陽說,“只要一臺帶病毒的礦機進了礦場,整個礦場內的機器,在幾分鐘內就會被感染。”
俞陽表示,這些病毒的釋出者,一般都在國外,以東歐居多。
而粗心大意的礦工,也會給病毒的入侵留下縫隙。“礦機和路由器出廠時,都有預設密碼。如果礦工沒有修改預設密碼,這些礦機在病毒面前,就像裸奔一樣。”江卓爾說。
不使用來源不明的第三方韌體,定期更換路由器與礦機的登入密碼,也許是礦工防範病毒入侵的最佳方式。
“不僅僅是要修改密碼。現在很多礦場大量採用二手礦機,一些礦廠老闆回本心切,沒有查殺病毒或重新刷機,就直接將礦機上架,這可能導致礦機病毒趁機傳播。”幣印礦池運營經理馮翀對一本區塊鏈記者表示。
馮翀認為,如果發現礦機感染病毒,先要鎖定感染源頭,然後儘快利用網段或電源分隔礦機,再分組進行防毒或刷機處理。
03攻防戰
“這一次,礦機在‘染毒’後大多沒有立刻發作,而是繼續偷偷散播病毒。黑客按照一定策略,在某種程度上控制了病毒的發作時間。”在江卓爾看來,這起事件的幕後黑手,十分狡猾。
他表示,從技術分析上看,病毒的開發者應該不是中國人,但這個超頻韌體最主要的傳播渠道,卻是國內的百度網盤。
“這意味著兩個可能性:一是黑客刻意為之,專門針對礦場集中的中國進行攻擊;二是中國礦工們在發現超頻韌體帶毒前,無意中幫助了病毒的傳播。”江卓爾表示。
最令江卓爾感到神奇的是,病毒也在不斷升級進化,如今已經演變出了多個版本:
“現在的新版本病毒,甚至可以監控礦工修改密碼的過程,並記錄下新密碼。”
這意味著,如果礦工沒能徹底清理病毒,即便修改了礦機預設密碼,病毒仍能捲土重來。
礦工與黑客的攻防戰仍在繼續,但藏在暗處的黑客,顯然更加主動。
最讓礦工們氣憤的是,黑客選擇的時間讓人防不勝防,比如通常在半夜偷偷切換賬戶。還有的黑客只針對部分礦機,一天只偷幾個小時算力,讓人難以覺察。
在“病毒挖礦”出現後,新的商機也隨之而來——許多礦場管理軟體的賣家,開始將“反病毒”作為宣傳口號。
礦工王釗也在開發礦場管理軟體。他自稱開發了業界唯一針對ASIC礦機的管理軟體,它可以自動檢測礦機執行狀況,也能批量管理礦機。
“一旦有礦機出現算力異常,礦工會第一時間得到通知。”王釗稱,“已經有七八萬臺礦機在使用我們的軟體了。”
但礦機管理軟體,並不能保證礦機的絕對安全,甚至有可能成為黑客的新攻擊點。
一位礦圈資深人士向一本區塊鏈記者透露,2017年,某個大型挖礦集團曾經遭遇黑客的“定向打擊”。黑客當時的切入點,正是這家集團自主開發的礦機管理軟體。
“這可能是礦圈歷史上最大的一次黑客攻擊,比特幣的全網算力因此下降了3%。”他表示。
潛伏在暗處的黑客,讓比特幣玩家們憂心忡忡。有人甚至擔心,比特幣網路是否會因黑客的一次突然攻擊,全面崩潰。
“很難出現這種情況。現在比特幣的算力仍然非常分散,礦場的數量眾多,黑客光是摸清礦場的網路位置,就已經十分困難了。”江卓爾表示。
儘管黑客詭計多端,但如今比特幣的去中心化結構,已經讓整個網路建立起了難以動搖的穩定性。
病毒也許不會毀掉比特幣,但對於礦工而言,大量礦機中毒,仍然是件令人頭痛的事。
一個系統真正的漏洞,永遠是人。只有防微杜漸,礦工們才能保衛礦機的安全。