本文来自腾讯安全应急响应中心,作者宙斯盾流量安全分析团队Pav1,星球日报经授权转载。引文
2021年上半年,虚拟加密货币(Cryptocurrency,下文简称“虚拟货币”)价格屡创新高的新闻一次又一次的吸引着人们的目光,其中比特币是大众最为熟知的虚拟货币。特斯拉公司也在2月份高调宣布购入价值15亿美元的比特币,并计划开始接受比特币作为其公司电动车产品的付款方式。而特斯拉公司的CEO埃隆·马斯克也在国外社交平台公开表示大力支持狗狗币,使其价格最高冲到0.73美元/枚,较年初暴涨近百倍。虚拟货币的疯狂除了引来了大量的资本涌入,还吸引了不少黑产的关注。腾讯安全平台部宙斯盾流量安全分析系统监测到在2021年上半年,与加密货币挖矿相关的恶意样本数量明显增加,并且随着虚拟货币的种类不断增加和技术的不断发展,一类新型的挖矿方法逐渐出现在我们的视野当中。概述
相信绝大部分安全从业者除了对比特币比较了解以外,对门罗币也比较熟悉。门罗币是一个创建于2014年4月的开源加密货币,采用了与比特币不同的CryptoNote协议,使其更加适合使用CPU进行挖矿。门罗币的这种特性导致了其被黑产大量使用,目前宙斯盾流量安全分析系统捕获的大部分挖矿脚本都是在进行门罗币的挖矿活动,一旦服务器恶意攻击者被植入门罗币挖矿脚本,最突出的表现就是CPU使用率大幅升高。
韩国检方对WeMade及WEMIX Token做市商展开全面强制调查:6月30日消息,今日上午,韩国检方已对该国上市游戏公司WeMade及其WEMIX Token做市商展开全面强制调查,包括扣押和搜查。此次搜查和扣押系针对WEMIX投资者于5月12日向检方提起的投诉,该公司被控欺诈、贪污等罪名。
报道称,自2021年以来,WeMade引发了多次争议。包括2020年11月至2022年1月,WeMade在未通知WEMIX用户的情况下清算了价值2255亿韩元的WEMIX,并用这笔资金收购了一家公司,引发巨大争议。此外,2022年底,WEMIX发行量涉嫌虚假披露,并与该国交易平台发生法律纠纷,WEMIX最终被韩国几家主要加密交易平台下架。[2023/6/30 22:10:21]
图1门罗币矿池页面2021年6月份,宙斯盾流量安全分析系统开始监测到一类挖矿脚本,服务器在被植入该脚本后,CPU并没有表现出极高的使用率,反而是硬盘被占用了极大的空间。深入了解后,发现是出现了一类以占用硬盘空间和网络带宽来进行挖矿的虚拟货币。这类虚拟货币的设计初衷是为了实现去中心化的存储与通信的目标,比较有代表性的币种是Filecoin、Chia、Swarm和Dfinity。我们在六月份监测到了Chia与Swarm相关的挖矿脚本,并且被感染量在几天内从数十台增加到了数百台,其中Swarm占据了大部分。典型的Swarm挖矿脚本主要的流程如下所示:
CFTC赢得Ooki DAO诉讼案:金色财经报道,在Ooki DAO未能对美国商品期货监管机构(CFTC)采取的执法行动做出回应后,联邦法官裁定商品期货交易委员会胜诉。CFTC执法部主任Ian McGinley表示,创始人创建Ooki DAO的目的是为了逃避,其明确目标是在没有法律责任的情况下运营非法交易平台,这一决定应该为任何认为他们可以通过采用DAO结构来规避法律、打算使自己免受执法影响并最终使公众处于危险之中的人敲响警钟。[2023/6/10 21:27:52]
图2Swarm挖矿脚本流程图
图3Swarm挖矿脚本-主函数Swarm简介
以太坊上Aave V3将增加对cbETH的支持:2月6日消息,Aave社区已投票通过一项治理提案,支持将cbETH添加至以太坊上的Aave V3。该提案得到了99.96%的投票权的支持,将于近期被执行。Aave V3上cbETH池的LTV被设定为67%,清算门槛为74%。[2023/2/6 11:49:54]
Swarm项目的火爆离不开以太坊,Swarm项目是以太坊的官方项目之一,由以太坊基金会领投,并且是V神亲自站台的项目。不难看出,以太坊生态的繁荣造就了Swarm的项目的火爆,同时Swarm项目也可以为以太坊网络中的应用提供存储、带宽等资源。目前以太坊网络上的很多项目的数据都还是存储在传统中心化的云服务商的服务器中,一旦这些服务器出现问题,那么意味着用户的数据和资产也会受到损失。这时,Swarm这类项目的优势就体现了出来,能够通过去中心化的存储来解决这种问题。
数据:Aptos 开发团队钱包向币安转移 82 万枚 APT:1月28日消息,据链上数据显示,Aptos 开发团队钱包向币安转移 82 万枚 APT(约 2000 万美元),该钱包中仍有超过 5450 万枚 APT。[2023/1/28 11:34:01]
图4Swarm官方网站通过阅读Swarm项目的白皮书可以发现,Swarm项目中的节点共同组成了一个巨大的P2P网络,在这个网络中,每个节点都能够提供数据的存储和内容分发的服务。简单来说,如果想要使用Swarm来存储数据,需要使用Swarm项目中的代币BZZ,这个BZZ代币也是Swarm挖矿的收益。如果一个节点能够提供越大的存储空间和带宽,那么他也将获得更多的BZZ代币,也就是挖矿收益。类比现有的产品,Swarm的设计导致其更像实现了一个去中心化的CDN或者网盘,以往我们需要去各种CDN或者网盘提供商付费使用其CDN或者网盘服务,而现在我们只需要在Swarm上支付BZZ代币来获取类似CDN或者网盘一样的服务。而我们的数据并不是唯一的保存在某一个服务提供商的服务器上,而是分散的存储在多个地方,提高了数据的安全性,可以避免数据被监视的情况。那么这就很好理解挖掘Swarm代币BZZ与挖掘门罗币的不同,挖掘门罗币需要消耗大量的CPU资源,从而会消耗大量的电力,而挖掘BZZ并不需要大量的计算资源,只需要占用存储空间和带宽,就能够获得收益,消耗的电力很小,是一种相对环保的挖矿方式。
Yuga Labs元宇宙平台Otherside官方推特已恢复正常使用:10月13日消息,Yuga Labs元宇宙平台Otherside官方宣布,其推特账户已在推特团队的帮助下恢复正常使用。此外,并没有推出新的铸造或空投活动,请用户点击不明链接前交叉验证规避风险。
此前消息,Otherside官方推特简介内容于昨日已清空,推特名也已改为无实际意义的“-”字符。[2022/10/13 10:33:14]
图5Swarm节点之间的Kademlia网络连接一个节点会至少与八个紧邻接点形成全连接,从而形成一个巨大且联系紧密的网状结构特征与检测虽然挖掘Swarm代币BZZ并不占用大量的CPU资源,这并不意味着我们不能检测其存在。在进行Swarm代币BZZ的挖矿过程中,最主要的特征是消耗带宽和硬盘空间,如果在日常使用电脑的过程中发现了硬盘空间突然被大量占用并且有一个程序占用了大量的网络带宽,则可以去查看下是否被植入了Swarm挖矿木马。同时,Swarm挖矿还会有以下一些比较具体的特征,供网络安全从业者来进行判断:1.流量特征在进行门罗币挖矿时,挖矿程序需要与矿池连接,并且将计算结果与区块等信息与矿池同步,其中还包含了登录的过程,所以门罗币挖矿的流量特征很明显。挖掘BZZ与门罗币的原理完全不同,但是从官方的文档中可以得知,挖矿程序必须连接到区块链网络中,官方推荐是自己搭建XDAI区块链节点来连接入区块链网络,也可以使用公共的服务例如stake.getblock.io来连接到区块链网络中。Swarm挖矿程序与XDAI区块链节点进行的通信流量如下:
图6挖矿程序与交换断端点的通信流量如上图可以看出,在挖矿程序与交换端点进行通讯时,同样采用了jsonrpc协议,这点与门罗币挖矿相同,并且数据包的强特征明显,可以针对数据包中的关键词或者数据包中的结构进行检测。2.文件特征Swarm项目官方所使用的挖矿软件是Bee(https://github.com/ethersphere/bee),这款软件是使用go编写的,支持linux、windows系统,并且支持ARM、X86等多种架构。通过运行官方的程序来搭建Swarm项目的挖矿节点,可发现运行程序后会在配置文件指定的data-dir目录下创建以下三个目录:Keys目录:该目录下会保存在节点初始化过程中产生的密钥,是整个节点中最为重要的数据。Statestore目录:该目录下保存了当前节点的相关信息,例如区块列表,SWAP余额等。Localstore目录:该目录下就是当前节点的区块数据。3.端口特征Swarm项目在运行时默认使用1633,1634,1635这三个端口来进行数据交换。1633端口:是默认的HTTPAPI端口,可以通过HTTP协议访问该端口来查看节点运行情况,上传与下载文件等操作。1634端口:是默认的P2P端口,与外部的节点进行P2P的连接则需要通过该端口。1635端口:是默认调试端口,这个端口的开放必须要在配置文件中配置debug-api-enable为True才会打开。通过检测上述端口的开放与连接情况也能了解主机是否运行了Swarm挖矿程序Bee。总结与展望在今年上半年,Swarm项目启动了不需要质押就能够挖矿的测试活动,吸引了大批的矿工参与,并且还出现了云服务器提供商贩卖Swarm节点的情况。在6月22日,Swarm项目迎来了1.0主网的上线,将项目的热度推向了高点。Swarm项目凭借着大V展台和以太坊的生态加持,成为了目前分布式存储区块链项目中的佼佼者。由于Swarm的挖矿还存在着质押、最小磁盘空间和高速带宽要求,并且币价在主网刚上线之后也不稳定,可能在之后的流行程度要画一个问号,但是只要有利润存在,就有可能被黑产等非法攻击者所利用,无论是个人还是公司都需要在日后针对此种类型的挖矿行为多加预防,防患于未然。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。