矿机托管在矿场，但挖到黑客钱包的币，谁来负责？

你的电脑，他的提款机

黑客“小霸”被警方盯上。

几个月来，这家伙到处散布木马，疯狂榨取肉鸡（被黑机器）的每一滴价值。

一旦中了他的把戏，机器就会受尽折磨。 先是挂着各种垃圾广告，然后主机CPU占用率飙升，成为黑客挖虚拟货币的“矿工”。

同时，剪贴板也会被监控。 一旦进行了虚拟货币交易，收款人地址将被黑客替换。 最后，木马还会锁住电脑勒索赎金，耗尽最后一点价值。 当警方找到黑客“小八”时，发现他只是一个未成年男孩。

没错，一个未成年男孩可以让你的机器为他工作，为他创造收入。

浏览即挖矿，小网站如此，大网站亦然

国际知名的BT资源下载网站海盗湾近日被曝出丑闻。 它的网站有内置的门罗币挖矿代码。 只要用户打开海盗湾网站浏览操作，该网站就会使用电脑或手机的计算资源进行挖矿，然后用户手机或电脑的温度会瞬间升高几十度以内十秒。 计算机也可能变得非常迟钝。

海盗湾的原因是广告烦人，想大张旗鼓赚钱，所以不想靠广告赚取收入，但又需要钱运营网站，所以内置挖矿代码绑架用户的电脑进行挖矿，这样就可以赚钱 方法不仅无声而且有利可图。

一些流量不大的网站靠这种方式一天能多赚几十块钱，而流量多的网站一天能赚一万多块钱。 而这些钱是通过损坏我们的电脑，利用我们电脑的性能和算力资源来赚取的。

前不久，高考结束，多所高校的网站被黑客植入挖矿代码，让考生在查看成绩时，电脑被绑架用于挖矿。

黑客对这种评分网站情有独钟，因为考生为了第一时间查看成绩，会长时间打开网站。 山东、河北、黑龙江多所重点高校官网被黑客植入挖矿代码。 .

这种现象在色情网站上并不少见。 据统计，在全球前10000家网站中，有220家网站在做这种损人利己的行为。 全网有超过30000个网站内置挖矿代码。 ，这些植入挖矿代码的网站中有68%是色情网站。

除了电脑，手机也不能幸免

根据 Adguard（一种广告拦截程序）的统计，全球约有 5 亿台计算机被绑架用于挖矿。 那么，你会说，我很少用电脑上网，我是个手机党。 是不是只有电脑会出现这种情况，手机就安全了？

不，不！

我们来看一组数据：根据360烽火台发布的《2017年中国移动安全现状报告》显示，2013年至2018年1月，360烽火台捕获Android平台挖矿木马1200余个。 其中，2018年1月捕获的挖矿木马近400个，占Android平台所有挖矿木马的三分之一。

地雷就是一块肥肉，没有安全感，就成了待宰的羔羊

上月26日，FAB（fabi）矿池Hi Pool发布公告称，其位于阿里云的服务器于6月22日下午遭遇有组织的黑客攻击，矿池钱包近10万个FAB被盗，内部文件被盗。 删除了所有内容黑客能把比特币都挖出来吗，包括钱包和密码、数据库、程序文件等。经过 4 天的努力，团队仍然无法找回。 即日起，矿池永久关闭。

至于给矿工造成的数百万美元的损失，HiPool无力偿还，只能赔偿矿工未在Fast Access Blockchain网络（FAB）上解锁的所有手续费（金额未透露） ).

历史上最恶性的两次矿池损失发生在2014年8月，当时劫机者利用漏洞将比特币矿工的连接重定向到自己控制的矿池，从而从矿工身上收取了8.3万美元的利润。 2015年3月，AntPool、BW.com、NiceHash、CKPool、GHash.io等几家大型矿池遭遇DDOS攻击，导致服务中断，部分区块链项目全网算力下降。

IPFS/Filecoin矿山崩盘的历史会重演吗？

最近闹得沸沸扬扬的一件事相信很多朋友都已经知道了。

国内有一群IPFS爱好者搭建了自己的服务器，准备运行IPFS。 因为Filecoin还没有上线，他们先挖Monero和storj。 挖了一会儿，没有任何反应。 最近突然发现矿场的所有机器都被植入了挖矿木马程序，钱包地址也被修改了。

辛苦挖了半年，看到解放前给黑客做嫁衣。

很多人会质疑，钱包地址被修改了，难道用户不知道吗？ 如果黑客想做一次性交易，那么他会一下子拿走你所有的币，你当然会发现。 但是，如果黑客是一个懂得源源不断的黑客，每天只拿走你十分之一的币，你还能这么容易找到吗？

如果发生这种情况，矿山会负责吗？ 大概率告诉你，没有！

据了解，目前市面上的所谓矿场大多不具备安全挖矿的条件，更谈不上抵御黑客攻击的能力。 甚至可以说他们在这方面严重缺乏安全意识。

与中国顶级安全机构之一达成合作可以确保安全，但需要花费大量资金。 舍不得花这笔钱是一回事，舍得花钱找一个足够安全的安全顾问又是另一回事。 更何况还有很多人认为天塌了黑客能把比特币都挖出来吗，不一定砸到我。

那么，你还敢在没有安全意识的不知名矿机厂商托管矿机吗？

托管前，至少要签一份安全协议和盗窃赔偿！

IPFS/Filecoin挖矿比比特币更难保证安全

IPFS的逻辑比BITCOIN复杂。 比特大陆的矿机可以认为是嵌入式系统，只运行自己的程序，而IPFS系统基本都是Linux或者Windows，属于通用系统，安全问题会比较严重。

对于IPFS，可能有几个方面。 一是利用系统漏洞。 包括操作系统漏洞，比如现在的矿机大多运行在Linux或者Windows上，这些操作系统和常用的软件包都可能存在漏洞，导致黑客入侵，修改系统配置，最重要的是修改钱包地址，或植入黑客的挖矿程序； IPFS/FILECOIN自身的代码也存在漏洞，可能是黑客攻击的重点。 君不见，现在安全专家这么火，专门做区块链安全的专家大有人在。

目前，已有多家传统网络安全厂商进入区块链安全领域。 也有专门针对区块链安全而成立的初创公司，比如安全界教父余贤创立的慢雾科技。 一直致力于分布式存储的上海储讯CTO冷博曾提到，区块链的安全性需要考虑的方面比较多，比如传统的基于Linux服务器的安全问题，用户通过电脑或访问各种客户等。手机。 终端（钱包、交易所、矿机管理工具等）的安全性，以及公链代码或智能合约本身存在漏洞导致的安全问题。 每一类问题对于厂商和用户来说都是一个巨大的挑战。

具体到存储挖矿领域，如果每台矿机都配置一个公网IP，一般来说可以更好的获取收益和提供服务，但是带来了很多安全问题； 所提供服务的收入和质量也将受到影响。 如果采用传统的企业级安全解决方案，整体成本巨大。 与高性价比的矿机相比，很多客户可能直观上承受不了。 甚至说光是开一个矿就需要考虑那么多。 因此，为IPFS相关项目提供完整的安全解决方案并不容易，但又不得不做。 在数据存储和区块链的世界里，安全是一个永恒的话题，也是重中之重。

还有管理不严的问题。 例如，默认密码未修改，密码安全强度过低，被撞库攻击等。 此外，一些传统的攻击，如DDOS，也可能产生影响。

从某种程度上来说，数字货币的出现改变了一些黑色产业的圈钱方式。 为什么黑客对区块链项目如此感兴趣并花费如此多的时间？ 因为你可以直接拿到钱：黑进系统，修改钱包地址，或者植入自己的挖矿程序。 黑客的积极性更高，因此遇到的问题可能更多。 区块链的安全肯定会面临比传统企业和经典互联网更棘手的问题。

纵观市面上运营IPFS矿场的公司，基本没有安全预算，这在未来会是一个很大的隐患。

你还敢随便管？

精彩回顾往事