數(shù)月以來(lái)，一個(gè)悄無(wú)聲息的幽靈，正在中國(guó)的比特幣礦場(chǎng)間肆虐。一個(gè)神秘黑客，將病毒植入礦機(jī)，以此向礦工勒索贖金。但贖金只是一個(gè)幌子，黑

數(shù)月以來(lái)，一個(gè)悄無(wú)聲息的幽靈，正在中國(guó)的比特幣礦場(chǎng)間肆虐。

一個(gè)神秘黑客，將病毒植入礦機(jī)，以此向礦工勒索贖金。但贖金只是一個(gè)幌子，黑客真正的目的，是劫走礦機(jī)的算力。

一個(gè)有4000臺(tái)礦機(jī)的礦場(chǎng)，僅1個(gè)小時(shí)，就能為黑客帶來(lái)2400元的利潤(rùn)。

病毒的源頭，則指向一個(gè)由匿名者發(fā)布的礦機(jī)固件。下載固件的礦工對(duì)此毫不知情，甚至再次將病毒傳播。

病毒入侵事件，暴露出了許多礦場(chǎng)的安全隱患。而這個(gè)病毒，已經(jīng)衍生出了多個(gè)變種。礦場(chǎng)的危機(jī)，仍在持續(xù)。

01中毒

礦機(jī)勒索病毒，在礦工眼里已經(jīng)不新鮮了。這一次，礦工cC的礦場(chǎng)中了招。

1月5日晚，cC礦場(chǎng)的比特大陸礦機(jī)管理界面，突然變成了一張綠色的圖片。圖片中間是只螞蟻，兩邊分別有一把礦工鎬。

hAnt病毒/圖片由受訪者拍攝

這個(gè)病毒名叫hAnt。很顯然，病毒的目標(biāo)，是比特大陸的螞蟻礦機(jī)。

點(diǎn)擊這張綠色圖片，可以看到黑客的留言。黑客用中英兩種語(yǔ)言告訴礦工，要免于被攻擊，只有兩個(gè)辦法：一，將病毒以固件補(bǔ)丁的方式，傳染給其他礦場(chǎng)的至少1000臺(tái)機(jī)器;二，給黑客打10個(gè)比特幣。

黑客留言/ 圖片由受訪者拍攝

黑客揚(yáng)言，不這樣做的話，自己就將關(guān)閉螞蟻礦機(jī)的風(fēng)扇和過(guò)熱保護(hù)，“燒毀你的礦機(jī)甚至房子”。

但在現(xiàn)實(shí)中，恐怕沒(méi)有哪個(gè)礦工會(huì)真的給黑客打幣——這種病毒問(wèn)題，解決起來(lái)并不難。

“第一個(gè)解決辦法，是刷礦機(jī)的SD卡，即固件。” cC告訴一本區(qū)塊鏈記者，這相當(dāng)于給礦機(jī)換一個(gè)新的操作軟件。這是解決問(wèn)題最直接的方式。

但要一臺(tái)臺(tái)刷機(jī)，很花時(shí)間。他用了4天時(shí)間，才把自己螞蟻礦機(jī)的SD卡全部刷了一遍。在礦場(chǎng)癱瘓的這段時(shí)間里，他損失了幾萬(wàn)元。

cC分析，此次礦機(jī)中毒，原因應(yīng)該是客戶的礦機(jī)在別的礦場(chǎng)跑過(guò)，刷了帶病毒的固件。

如果刷SD卡無(wú)效，他還有別的辦法：換掉礦機(jī)的字節(jié)庫(kù)，甚至控制板，“實(shí)在不行，就把礦機(jī)賣了”。

早在2013年，就有黑客利用病毒，劫持他人電腦隱秘挖礦。但針對(duì)大型礦場(chǎng)礦機(jī)的攻擊，卻是不久前才開(kāi)始出現(xiàn)的。

“在2018年8月到10月，問(wèn)題開(kāi)始集中爆發(fā)。”礦海會(huì)COO俞陽(yáng)告訴一本區(qū)塊鏈記者。

礦工王釗則表示，自己見(jiàn)過(guò)一種很厲害的礦機(jī)病毒。它能在半夜，偷偷把一個(gè)礦場(chǎng)4000臺(tái)礦機(jī)的挖礦地址，改成黑客的挖礦地址。

一個(gè)小時(shí)，這個(gè)礦場(chǎng)就能為黑客賺到2400元。一天，就是5.76萬(wàn)元。

由于存在巨大的利潤(rùn)空間，針對(duì)礦場(chǎng)的“病毒挖礦”，也許將長(zhǎng)期存在。

02禍根

“我們追蹤這個(gè)病毒已經(jīng)有一段時(shí)間了。” 當(dāng)談及cC礦場(chǎng)的病毒時(shí)，萊比特礦池創(chuàng)始人江卓爾對(duì)一本區(qū)塊鏈記者表示。

根據(jù)江卓爾掌握的數(shù)據(jù)，目前，螞蟻比特幣礦機(jī)中的S9、T9，甚至萊特幣礦機(jī)L3+，都有這種病毒的感染記錄。

“在礦機(jī)界，阿瓦隆礦機(jī)需要用‘樹(shù)莓派’控制。后者本質(zhì)上是一種Linux系統(tǒng)的微型電腦。”江卓爾表示，“而螞蟻礦機(jī)內(nèi)置了控制板，相當(dāng)于集成了Linux系統(tǒng)，這也就給病毒帶來(lái)了可乘之機(jī)。”

所以，螞蟻礦機(jī)與家用和商用電腦一樣，有可能遭到病毒入侵。

這些病毒的源頭在哪里?

江卓爾和俞陽(yáng)都認(rèn)為，病毒的源頭，大概率來(lái)自一個(gè)匿名人士發(fā)布的礦機(jī)超頻固件。

“超頻”一詞，最早出現(xiàn)在骨灰電腦玩家口中。

“芯片有一個(gè)重要指標(biāo)，叫做主頻。相同工藝的芯片，主頻越高，性能也就越強(qiáng)。”游戲玩家王碩表示，一般情況下，廠商會(huì)為芯片設(shè)置一個(gè)主頻上限。玩家們通過(guò)技術(shù)手段突破這個(gè)上限，就叫“超頻”。

但絕大多數(shù)廠商，都反對(duì)用戶對(duì)芯片進(jìn)行超頻。“這就像運(yùn)動(dòng)員吃興奮劑一樣，雖然成績(jī)提升了，但副作用也十分可怕。”王碩說(shuō)。

具體到礦機(jī)上，超頻可以提升礦機(jī)算力。以螞蟻S9為例，刷超頻固件可以將S9算力從13.5T提升到18T，算力增幅達(dá)33.33%。因此，礦工刷超頻固件的現(xiàn)象非常普遍。

但與此同時(shí)，礦機(jī)的功耗也會(huì)大幅提升，礦機(jī)電源、散熱系統(tǒng)負(fù)擔(dān)加重，礦機(jī)芯片的壽命會(huì)縮短。“所以礦機(jī)廠商大多不鼓勵(lì)超頻。”cC說(shuō)，“網(wǎng)絡(luò)上的超頻固件，都是‘民間高手’開(kāi)發(fā)。”

這就給了黑客可乘之機(jī)：固件是寫入硬件內(nèi)部的程序，較操作系統(tǒng)而言更加底層。如果固件“帶毒”，黑客便可以對(duì)礦機(jī)為所欲為。

這種病毒具有極強(qiáng)的傳染性。“最開(kāi)始可能是有一臺(tái)或多臺(tái)礦機(jī)，刷了帶病毒的超頻固件。它們?cè)诓煌牡V場(chǎng)中托管時(shí)，病毒就迅速滲透到各個(gè)礦場(chǎng)。”俞陽(yáng)說(shuō)，“只要一臺(tái)帶病毒的礦機(jī)進(jìn)了礦場(chǎng)，整個(gè)礦場(chǎng)內(nèi)的機(jī)器，在幾分鐘內(nèi)就會(huì)被感染。”

俞陽(yáng)表示，這些病毒的發(fā)布者，一般都在國(guó)外，以東歐居多。

而粗心大意的礦工，也會(huì)給病毒的入侵留下縫隙。“礦機(jī)和路由器出廠時(shí)，都有默認(rèn)密碼。如果礦工沒(méi)有修改默認(rèn)密碼，這些礦機(jī)在病毒面前，就像裸奔一樣。”江卓爾說(shuō)。

不使用來(lái)源不明的第三方固件，定期更換路由器與礦機(jī)的登錄密碼，也許是礦工防范病毒入侵的最佳方式。

“不僅僅是要修改密碼?，F(xiàn)在很多礦場(chǎng)大量采用二手礦機(jī)，一些礦廠老板回本心切，沒(méi)有查殺病毒或重新刷機(jī)，就直接將礦機(jī)上架，這可能導(dǎo)致礦機(jī)病毒趁機(jī)傳播。”幣印礦池運(yùn)營(yíng)經(jīng)理馮翀對(duì)一本區(qū)塊鏈記者表示。

馮翀認(rèn)為，如果發(fā)現(xiàn)礦機(jī)感染病毒，先要鎖定感染源頭，然后盡快利用網(wǎng)段或電源分隔礦機(jī)，再分組進(jìn)行殺毒或刷機(jī)處理。

03攻防戰(zhàn)

“這一次，礦機(jī)在‘染毒’后大多沒(méi)有立刻發(fā)作，而是繼續(xù)偷偷散播病毒。黑客按照一定策略，在某種程度上控制了病毒的發(fā)作時(shí)間。”在江卓爾看來(lái)，這起事件的幕后黑手，十分狡猾。

他表示，從技術(shù)分析上看，病毒的開(kāi)發(fā)者應(yīng)該不是中國(guó)人，但這個(gè)超頻固件最主要的傳播渠道，卻是國(guó)內(nèi)的百度網(wǎng)盤。

“這意味著兩個(gè)可能性：一是黑客刻意為之，專門針對(duì)礦場(chǎng)集中的中國(guó)進(jìn)行攻擊;二是中國(guó)礦工們?cè)诎l(fā)現(xiàn)超頻固件帶毒前，無(wú)意中幫助了病毒的傳播。”江卓爾表示。

最令江卓爾感到神奇的是，病毒也在不斷升級(jí)進(jìn)化，如今已經(jīng)演變出了多個(gè)版本：

“現(xiàn)在的新版本病毒，甚至可以監(jiān)控礦工修改密碼的過(guò)程，并記錄下新密碼。”

這意味著，如果礦工沒(méi)能徹底清理病毒，即便修改了礦機(jī)默認(rèn)密碼，病毒仍能卷土重來(lái)。

礦工與黑客的攻防戰(zhàn)仍在繼續(xù)，但藏在暗處的黑客，顯然更加主動(dòng)。

最讓礦工們氣憤的是，黑客選擇的時(shí)間讓人防不勝防，比如通常在半夜偷偷切換賬戶。還有的黑客只針對(duì)部分礦機(jī)，一天只偷幾個(gè)小時(shí)算力，讓人難以覺(jué)察。

在“病毒挖礦”出現(xiàn)后，新的商機(jī)也隨之而來(lái)——許多礦場(chǎng)管理軟件的賣家，開(kāi)始將“反病毒”作為宣傳口號(hào)。

礦工王釗也在開(kāi)發(fā)礦場(chǎng)管理軟件。他自稱開(kāi)發(fā)了業(yè)界唯一針對(duì)ASIC礦機(jī)的管理軟件，它可以自動(dòng)檢測(cè)礦機(jī)運(yùn)行狀況，也能批量管理礦機(jī)。

“一旦有礦機(jī)出現(xiàn)算力異常，礦工會(huì)第一時(shí)間得到通知。”王釗稱，“已經(jīng)有七八萬(wàn)臺(tái)礦機(jī)在使用我們的軟件了。”

但礦機(jī)管理軟件，并不能保證礦機(jī)的絕對(duì)安全，甚至有可能成為黑客的新攻擊點(diǎn)。

一位礦圈資深人士向一本區(qū)塊鏈記者透露，2017年，某個(gè)大型挖礦集團(tuán)曾經(jīng)遭遇黑客的“定向打擊”。黑客當(dāng)時(shí)的切入點(diǎn)，正是這家集團(tuán)自主開(kāi)發(fā)的礦機(jī)管理軟件。

“這可能是礦圈歷史上最大的一次黑客攻擊，比特幣的全網(wǎng)算力因此下降了3%。”他表示。

潛伏在暗處的黑客，讓比特幣玩家們憂心忡忡。有人甚至擔(dān)心，比特幣網(wǎng)絡(luò)是否會(huì)因黑客的一次突然攻擊，全面崩潰。

“很難出現(xiàn)這種情況?，F(xiàn)在比特幣的算力仍然非常分散，礦場(chǎng)的數(shù)量眾多，黑客光是摸清礦場(chǎng)的網(wǎng)絡(luò)位置，就已經(jīng)十分困難了。”江卓爾表示。

盡管黑客詭計(jì)多端，但如今比特幣的去中心化結(jié)構(gòu)，已經(jīng)讓整個(gè)網(wǎng)絡(luò)建立起了難以動(dòng)搖的穩(wěn)定性。

病毒也許不會(huì)毀掉比特幣，但對(duì)于礦工而言，大量礦機(jī)中毒，仍然是件令人頭痛的事。

一個(gè)系統(tǒng)真正的漏洞，永遠(yuǎn)是人。只有防微杜漸，礦工們才能保衛(wèi)礦機(jī)的安全。

*文中部分受訪者為化名。

關(guān)鍵詞： 幽靈病毒 肆虐礦場(chǎng) 損失