ゴーストウイルスがマイニングファームを襲い、鉱山労働者は1時間あたり2,000元の損失を被る

数か月間、沈黙の亡霊が中国のビットコイン鉱山に大混乱を引き起こしていた。

謎のハッカーが採掘マシンにウイルスを埋め込み、採掘者から身代金を強要した。しかし、身代金は単なる隠れ蓑に過ぎません。ハッカーの本当の目的は、マイニングマシンの計算能力を奪うことです。

4,000台のマイニングマシンを備えたマイニングファームは、わずか1時間でハッカーに2,400元の利益をもたらす可能性がある。

ウイルスの発生源は、匿名の人物によってリリースされたマイニングマシンのファームウェアです。ファームウェアをダウンロードしたマイナーたちはこれに気づかず、再びウイルスを拡散させてしまいました。

ウイルス侵入事件により、多くの鉱山の安全上のリスクが明らかになった。このウイルスは複数の亜種を生み出しました。鉱山の危機は続いている。

01 中毒

マイニングマシンのランサムウェアはマイナーにとって目新しいものではありません。今回は、鉱山労働者cCの鉱山が攻撃されました。

1月5日の夕方、cCマイニングファームのBitmainマイニングマシン管理インターフェースが突然緑色の画像に変わりました。写真の中央にはアリがいて、その両側には鉱夫のつるはしがあります。

抗原ウイルス/ インタビュー対象者が撮影した写真

このウイルスはhAntと呼ばれます。明らかに、このウイルスの標的は Bitmain の Antminer です。

この緑色の画像をクリックすると、ハッカーのメッセージが表示されます。ハッカーは中国語と英語の両方で、攻撃を回避する方法は2つしかないとマイナーたちに伝えた。1つは、ファームウェアパッチの形で、他のマイニングファームの少なくとも1,000台のマシンにウイルスを拡散すること。もう1つは、ハッカーに10ビットコインを与えることです。

ハッカーのメッセージ/インタビュー対象者が撮影した写真

ハッカーは、これが行われなければ、Antminer のファンと過熱保護をオフにし、「マイナーや家まで燃やしてしまう」と脅した。

しかし、現実には、マイナーが実際にハッカーにコインを渡すことはないのではないかと思います。この種のウイルスの問題を解決するのは難しくありません。

「最初の解決策は、マイニングマシンのSDカード、つまりファームウェアをフラッシュすることです。」 cCはブロックチェーン記者に対し、これはマイニングマシンの新しいオペレーティングソフトウェアを交換するのと同じことだと語った。これが問題を解決する最も直接的な方法です。

しかし、デバイスを一つずつフラッシュするにはかなりの時間がかかります。 Antminer の SD カードを完全にフラッシュするのに 4 日かかりました。鉱山が麻痺していた期間中、彼は数万元の損失を被った。

cC の分析によると、マイニング マシンが感染した理由は、顧客のマイニング マシンが他のマイニング ファームで使用されており、ウイルスを含むファームウェアがフラッシュされていたためであると考えられます。

SD カードのフラッシュが機能しない場合は、マイニング マシンのバイト ライブラリ、または制御ボードを交換するという他のオプションがあります。 「それがうまくいかなかったら、採掘機を売ればいいんです。」

2013年にはすでに、ハッカーはウイルスを使って他人のコンピューターを乗っ取り、秘密裏にマイニングを行っていた。しかし、大規模なマイニングファームのマイニングマシンに対する攻撃が現れ始めたのはごく最近のことです。

「2018年8月から10月にかけて、問題が集中的に発生し始めた」と、マイン・オーシャン協会の最高執行責任者（COO）であるユー・ヤン氏はブロックチェーン記者に語った。

マイナーの王趙氏は、非常に強力なマイニングマシンウイルスを見たことがあると語った。真夜中に、マイニングファーム内の 4,000 台のマイニングマシンのマイニングアドレスをハッカーのマイニングアドレスに秘密裏に変更することができます。

このマイニングファームは、1時間でハッカーに2,400元を稼がせることができます。それは1日あたり57,600元です。

利益率が大きいため、マイニングファームをターゲットにした「ウイルスマイニング」は長期間にわたって存在する可能性があります。

02 悪の根源

「私たちはしばらくこのウイルスを追跡してきました。」ライトコインマイニングプールの創設者である江卓爾氏は、cCマイニングファームのウイルスについてブロックチェーン記者に語った。

Jiang Zhuoer氏が持っているデータによると、現在、Ant BitcoinマイニングマシンS9、T9、さらにはLitecoinマイニングマシンL3+でもこのウイルスに感染した記録があるという。

「マイニング業界では、Avalon マイニング マシンは「Raspberry Pi」で制御する必要があります。Raspberry Pi は基本的に Linux システムを搭載したマイクロ コンピューターです。」蒋卓爾氏は、「アントマイナーには、統合Linuxシステムに相当する制御ボードが組み込まれており、ウイルスがそれを利用する機会を与えている」と述べた。

したがって、Antminer は、家庭用および商用のコンピュータと同様に、ウイルス攻撃の影響を受けやすくなります。

これらのウイルスはどこから来るのでしょうか?

Jiang Zhuoer氏とYu Yang氏はともに、このウイルスの発生源は匿名の人物が公開したマイニングマシンのオーバークロックファームウェアである可能性が高いと考えている。

「オーバークロック」という言葉が最初に登場したのは、熱心なコンピューター プレイヤーたちの間ででした。

「チップにはメイン周波数と呼ばれる重要な指標があります。同じプロセスのチップであれば、メイン周波数が高いほどパフォーマンスが高くなります。」ゲームプレイヤーの王碩氏は、通常の状況では、メーカーはチップの主な周波数に上限を設定するだろうと述べた。プレイヤーは技術的な手段によってこの上限を突破しますが、これを「オーバークロック」と呼びます。

しかし、ほとんどのメーカーは、ユーザーがチップをオーバークロックすることに反対しています。 「アスリートが興奮剤を服用するようなものです。パフォーマンスは向上しますが、副作用もひどいのです」と王碩氏は語った。

特にマイニング マシンの場合、オーバークロックによりマイニング マシンの計算能力が向上します。 Ant S9 を例にとると、オーバークロック ファームウェアをフラッシュすると、S9 のコンピューティング能力が 13.5T から 18T に増加し、33.33% 増加します。したがって、マイナーがオーバークロックされたファームウェアをフラッシュすることは非常に一般的です。

しかし同時に、マイニングマシンの消費電力も大幅に増加し、マイニングマシンの電源と冷却システムへの負担が増加し、マイニングマシンチップの寿命が短くなります。 「そのため、ほとんどのマイニングマシンメーカーはオーバークロックを推奨していません。」 cC氏は「インターネット上のオーバークロックファームウェアはすべて『民間の専門家』によって開発されている」と述べた。

これにより、ハッカーは悪用する機会を得ます。ファームウェアはハードウェアに書き込まれたプログラムであり、オペレーティング システムよりも低いレベルにあります。ファームウェアが感染すると、ハッカーはマイニングマシンに対して何でもできるようになります。

このウイルスは非常に感染力が強い。 「最初は、ウイルスに感染したオーバークロックファームウェアがフラッシュされたマイニングマシンが1台以上ある可能性があります。それらが異なるマイニングファームにホストされていたため、ウイルスはすぐに各マイニングファームに侵入しました。」ユー・ヤン氏は「ウイルスに感染したマイニングマシンが1台でもマイニングファームに入ると、数分以内にマイニングファーム全体のマシンが感染するだろう」と述べた。

ユー・ヤン氏は、これらのウイルスの発行者は一般的に海外、特に東ヨーロッパにいると述べた。

不注意なマイナーは、ウイルスが侵入する抜け穴も残します。 「マイニングマシンとルーターは工場出荷時にデフォルトのパスワードが設定されている。マイナーがデフォルトのパスワードを変更しなければ、これらのマイニングマシンはウイルスの前で裸で走っているようなものだ」と蒋卓爾氏は述べた。

不明なソースからのサードパーティファームウェアを使用しないこと、およびルーターとマイニングマシンのログインパスワードを定期的に変更することが、マイナーにとってウイルスの侵入を防ぐ最善の方法である可能性があります。

「パスワードを変更するだけでは不十分です。現在、多くのマイニングファームでは、中古のマイニングマシンを大量に使用しています。一部の鉱山所有者は利益を上げることに熱心であるため、ウイルスのチェックや再フラッシュを行わずに、マイニングマシンをそのまま棚に置いています。これにより、マイニングマシンウイルスが蔓延する可能性があります。」 CoinInマイニングプールの運営マネージャーであるFeng Chong氏はブロックチェーン記者にこう語った。

Feng Chong 氏は、マイニング マシンがウイルスに感染していることが判明した場合、まず感染源を特定し、次にネットワーク セグメントまたは電源を使用してマイニング マシンをできるだけ早く分離し、グループに分け、ウイルスの駆除またはフラッシュを行う必要があると考えています。

03 攻防戦

「今回、ほとんどのマイニングマシンは感染後すぐには爆発せず、密かにウイルスを拡散し続けた。ハッカーらは一定の戦略に従ってウイルスの爆発時期をある程度コントロールした。」蒋卓児氏の意見では、この事件の首謀者は非常に狡猾である。

同氏は、技術的な分析の観点から見ると、ウイルスの開発者は中国人ではないはずだが、このオーバークロックファームウェアの主な配布チャネルは中国のBaidu Netdiskであると述べた。

「これは2つの可能性があることを意味する。1つはハッカーが意図的に、特にマイニングファームが集中している中国を狙って実行したということ。もう1つは、オーバークロックファームウェアが感染していることに気付く前に、中国のマイナーがうっかりウイルスの拡散を手助けしたということだ」と蒋卓爾氏は述べた。

蒋卓爾氏が最も驚いたのは、ウイルスが絶えず進化しており、現在では複数のバージョンに進化していることだ。

「このウイルスの新バージョンは、マイナーがパスワードを変更するプロセスを監視し、新しいパスワードを記録することさえできる。」

つまり、マイナーがウイルスを完全に駆除できなかった場合、マイニングマシンのデフォルトのパスワードが変更されても、ウイルスが再び現れる可能性があるということです。

マイナーとハッカーの攻防戦は今も続いているが、闇に潜むハッカーのほうが明らかに積極的になっている。

マイナーたちを最も怒らせているのは、夜中に密かにアカウントを切り替えるなど、ハッカーが選ぶ時間を守るのが難しいことだ。一部のハッカーは一部のマイニングマシンのみをターゲットにし、1日数時間だけコンピューティングパワーを盗むため、検出が困難です。

「ウイルスマイニング」の出現後、新たなビジネスチャンスも生まれました。マイニングファーム管理ソフトウェアの販売業者の多くが、「ウイルス対策」を宣伝スローガンとして使い始めました。

鉱山労働者の王趙氏は鉱山管理ソフトウェアも開発している。マイニングマシンの稼働状況を自動検知し、マイニングマシンを一括管理できる、業界唯一のASICマイニングマシン用管理ソフトウェアを開発したという。

「マイニングマシンの計算能力が異常になると、マイナーに直ちに通知されます。」王趙氏は「すでに7万～8万台のマイニングマシンが当社のソフトウェアを使用している」と語った。

しかし、マイニングマシン管理ソフトウェアはマイニングマシンの絶対的な安全性を保証することはできず、ハッカーにとって新たな攻撃ポイントになる可能性もあります。

マイニング業界の重鎮がブロックチェーン記者に対し、2017年に大規模なマイニンググループがハッカーによる「標的型攻撃」を受けたと明かした。当時、ハッカーの侵入口となったのは、同グループが独自に開発したマイニングマシン管理ソフトウェアだった。

「これはマイニング業界史上最大のハッカー攻撃かもしれない。その結果、ビットコインの総合的な計算能力は3％低下した」と同氏は語った。

暗闇に潜むハッカーがビットコインプレイヤーを不安にさせている。ハッカーによる突然の攻撃によりビットコインネットワークが完全に崩壊するのではないかと心配する人もいます。

「これが起こる可能性は非常に低い。現在、ビットコインの計算能力はまだ非常に分散しており、マイニングファームの数も非常に多い。ハッカーがマイニングファームのネットワーク上の場所を突き止めるのはすでに非常に困難だ」と蒋卓爾氏は述べた。

ハッカーの策略にもかかわらず、ビットコインの分散型構造により、ネットワーク全体が揺るぎない安定性を確立することができました。

このウイルスはビットコインを破壊することはないかもしれないが、マイナーにとっては、大量のマイニングマシンが感染することは依然として頭痛の種だ。

システムにおける本当の抜け穴は常に人にあります。問題の発生を防ぐことによってのみ、マイナーはマイニングマシンの安全を守ることができます。

※本記事のインタビュー対象者の一部は仮名です。