ARM:当心Chia和Swarm挖矿木马程序感染你的主机_PolySwarm

本文来自腾讯安全应急响应中心，作者宙斯盾流量安全分析团队Pav1，星球日报经授权转载。引文

2021年上半年，虚拟加密货币(Cryptocurrency，下文简称“虚拟货币”)价格屡创新高的新闻一次又一次的吸引着人们的目光，其中比特币是大众最为熟知的虚拟货币。特斯拉公司也在2月份高调宣布购入价值15亿美元的比特币，并计划开始接受比特币作为其公司电动车产品的付款方式。而特斯拉公司的CEO埃隆·马斯克也在国外社交平台公开表示大力支持狗狗币，使其价格最高冲到0.73美元/枚，较年初暴涨近百倍。虚拟货币的疯狂除了引来了大量的资本涌入，还吸引了不少黑产的关注。腾讯安全平台部宙斯盾流量安全分析系统监测到在2021年上半年，与加密货币挖矿相关的恶意样本数量明显增加，并且随着虚拟货币的种类不断增加和技术的不断发展，一类新型的挖矿方法逐渐出现在我们的视野当中。概述

相信绝大部分安全从业者除了对比特币比较了解以外，对门罗币也比较熟悉。门罗币是一个创建于2014年4月的开源加密货币，采用了与比特币不同的CryptoNote协议，使其更加适合使用CPU进行挖矿。门罗币的这种特性导致了其被黑产大量使用，目前宙斯盾流量安全分析系统捕获的大部分挖矿脚本都是在进行门罗币的挖矿活动，一旦服务器恶意攻击者被植入门罗币挖矿脚本，最突出的表现就是CPU使用率大幅升高。

巨鲸地址于4小时前卖出108万枚ARB，亏损27.6万美元:6月12日消息，据 lookonchain 数据显示，0x494a 开头巨鲸地址于 4 小时前卖出 108 万枚 ARB，亏损 27.6 万美元。

据悉，该巨鲸地址此前于 6 月 2 日以 1.25 美元均价买入 108 万枚 ARB，共计投入 134 万美元。值得注意的是，该地址在 Andrew Kang 买入 ARB 2 小时后买入，或受到 Andrew Kang 交易动作影响。

此前报道，加密风险投资公司 Mechanism Capital 联合创始人兼合伙人 Andrew Kang 曾于 6 月 2 日以 1.21 美元均价买入 117 万枚 ARB，6 月 10 日晚将其 21.7 万枚 ARB 在链上以 0.97 美元的价格售出；95.3 万枚 ARB 转入 Binance，预计其本次 ARB 投资实现了 28 万美元亏损，亏损率 20%。[2023/6/12 21:31:14]

英国将推进数字英镑的准备工作:金色财经报道，英国金融服务大臣安德鲁·格里菲斯周二（10日）表示，正确设计数字英镑比快速推出更重要。中国已经在推进数字人民币试点，欧洲央行正在研究数字欧元，这给英国施加了压力，英国也必须跟上金融技术的进步。英国财政部将在未来几周内就数字英镑的属性展开公众咨询。 (路透)[2023/1/11 11:05:55]

图1门罗币矿池页面2021年6月份，宙斯盾流量安全分析系统开始监测到一类挖矿脚本，服务器在被植入该脚本后，CPU并没有表现出极高的使用率，反而是硬盘被占用了极大的空间。深入了解后，发现是出现了一类以占用硬盘空间和网络带宽来进行挖矿的虚拟货币。这类虚拟货币的设计初衷是为了实现去中心化的存储与通信的目标，比较有代表性的币种是Filecoin、Chia、Swarm和Dfinity。我们在六月份监测到了Chia与Swarm相关的挖矿脚本，并且被感染量在几天内从数十台增加到了数百台，其中Swarm占据了大部分。典型的Swarm挖矿脚本主要的流程如下所示：

安全团队：0x8fd5开头地址从MakerDAO中撤回5000枚WBTC:金色财经报道，据派盾监测（PeckShieldAlert）数据显示，0x8fd5开头的巨鲸地址从MakerDAO中撤回5000枚WBTC（约8500万美元）。[2022/12/6 21:25:20]

图2Swarm挖矿脚本流程图

图3Swarm挖矿脚本-主函数Swarm简介

Swarm项目的火爆离不开以太坊，Swarm项目是以太坊的官方项目之一，由以太坊基金会领投，并且是V神亲自站台的项目。不难看出，以太坊生态的繁荣造就了Swarm的项目的火爆，同时Swarm项目也可以为以太坊网络中的应用提供存储、带宽等资源。目前以太坊网络上的很多项目的数据都还是存储在传统中心化的云服务商的服务器中，一旦这些服务器出现问题，那么意味着用户的数据和资产也会受到损失。这时，Swarm这类项目的优势就体现了出来，能够通过去中心化的存储来解决这种问题。

美SEC执法主管：不会放慢针对加密货币的法律行动:9月9日消息，美国证券交易委员会执法部门主管 Gurbir Grewal 在由法律教育非营利组织执业法律研究所主办的论坛上表示，无论使用什么技术，都将继续采取行动，不会放慢针对加密货币的法律行动。他还称：不执行我们监管结构中最基本的规则——这将是对信任的背叛。[2022/9/9 13:20:17]

图4Swarm官方网站通过阅读Swarm项目的白皮书可以发现，Swarm项目中的节点共同组成了一个巨大的P2P网络，在这个网络中，每个节点都能够提供数据的存储和内容分发的服务。简单来说，如果想要使用Swarm来存储数据，需要使用Swarm项目中的代币BZZ，这个BZZ代币也是Swarm挖矿的收益。如果一个节点能够提供越大的存储空间和带宽，那么他也将获得更多的BZZ代币，也就是挖矿收益。类比现有的产品，Swarm的设计导致其更像实现了一个去中心化的CDN或者网盘，以往我们需要去各种CDN或者网盘提供商付费使用其CDN或者网盘服务，而现在我们只需要在Swarm上支付BZZ代币来获取类似CDN或者网盘一样的服务。而我们的数据并不是唯一的保存在某一个服务提供商的服务器上，而是分散的存储在多个地方，提高了数据的安全性，可以避免数据被监视的情况。那么这就很好理解挖掘Swarm代币BZZ与挖掘门罗币的不同，挖掘门罗币需要消耗大量的CPU资源，从而会消耗大量的电力，而挖掘BZZ并不需要大量的计算资源，只需要占用存储空间和带宽，就能够获得收益，消耗的电力很小，是一种相对环保的挖矿方式。

垃圾发电矿企Vespene Energy完成430万美元融资:8月9日消息，垃圾发电矿企 Vespene Energy 宣布完成 430 万美元融资，Polychain Capital 领投。Vespene Energy 是一家总部位于加利福尼亚州伯克利的公司，该公司将垃圾填埋场释放的甲烷气体转化为用于比特币开采的电力，旨在缓解加密行业的温室问题，本轮融资将用于启动其设备试点。[2022/8/9 12:13:08]

图5Swarm节点之间的Kademlia网络连接一个节点会至少与八个紧邻接点形成全连接，从而形成一个巨大且联系紧密的网状结构特征与检测虽然挖掘Swarm代币BZZ并不占用大量的CPU资源，这并不意味着我们不能检测其存在。在进行Swarm代币BZZ的挖矿过程中，最主要的特征是消耗带宽和硬盘空间，如果在日常使用电脑的过程中发现了硬盘空间突然被大量占用并且有一个程序占用了大量的网络带宽，则可以去查看下是否被植入了Swarm挖矿木马。同时，Swarm挖矿还会有以下一些比较具体的特征，供网络安全从业者来进行判断：1.流量特征在进行门罗币挖矿时，挖矿程序需要与矿池连接，并且将计算结果与区块等信息与矿池同步，其中还包含了登录的过程，所以门罗币挖矿的流量特征很明显。挖掘BZZ与门罗币的原理完全不同，但是从官方的文档中可以得知，挖矿程序必须连接到区块链网络中，官方推荐是自己搭建XDAI区块链节点来连接入区块链网络，也可以使用公共的服务例如stake.getblock.io来连接到区块链网络中。Swarm挖矿程序与XDAI区块链节点进行的通信流量如下：

图6挖矿程序与交换断端点的通信流量如上图可以看出，在挖矿程序与交换端点进行通讯时，同样采用了jsonrpc协议，这点与门罗币挖矿相同，并且数据包的强特征明显，可以针对数据包中的关键词或者数据包中的结构进行检测。2.文件特征Swarm项目官方所使用的挖矿软件是Bee(https://github.com/ethersphere/bee)，这款软件是使用go编写的，支持linux、windows系统，并且支持ARM、X86等多种架构。通过运行官方的程序来搭建Swarm项目的挖矿节点，可发现运行程序后会在配置文件指定的data-dir目录下创建以下三个目录：Keys目录：该目录下会保存在节点初始化过程中产生的密钥，是整个节点中最为重要的数据。Statestore目录：该目录下保存了当前节点的相关信息，例如区块列表，SWAP余额等。Localstore目录：该目录下就是当前节点的区块数据。3.端口特征Swarm项目在运行时默认使用1633，1634，1635这三个端口来进行数据交换。1633端口：是默认的HTTPAPI端口，可以通过HTTP协议访问该端口来查看节点运行情况，上传与下载文件等操作。1634端口：是默认的P2P端口，与外部的节点进行P2P的连接则需要通过该端口。1635端口：是默认调试端口，这个端口的开放必须要在配置文件中配置debug-api-enable为True才会打开。通过检测上述端口的开放与连接情况也能了解主机是否运行了Swarm挖矿程序Bee。总结与展望在今年上半年，Swarm项目启动了不需要质押就能够挖矿的测试活动，吸引了大批的矿工参与，并且还出现了云服务器提供商贩卖Swarm节点的情况。在6月22日，Swarm项目迎来了1.0主网的上线，将项目的热度推向了高点。Swarm项目凭借着大V展台和以太坊的生态加持，成为了目前分布式存储区块链项目中的佼佼者。由于Swarm的挖矿还存在着质押、最小磁盘空间和高速带宽要求，并且币价在主网刚上线之后也不稳定，可能在之后的流行程度要画一个问号，但是只要有利润存在，就有可能被黑产等非法攻击者所利用，无论是个人还是公司都需要在日后针对此种类型的挖矿行为多加预防，防患于未然。

标签：ARMSwarmWAR门罗币PolySwarmSwarm CityMWAR币门罗币是什么币

莱特币最新价格热门资讯