你的计算机，他的提款机

黑客“xiaoba”被警察盯上了。

几个月来，这家伙四处传播木马，疯狂榨取肉鸡（被黑的机器）里的每一滴价值。

一旦中了他的招，机器将受尽折磨。先是被挂上各种垃圾广告，然后主机CPU使用率飙升，成为黑客挖取虚拟币的“矿工”。

同时，剪切板还会被监控，一旦进行虚拟币交易，收款人地址会替换成黑客的。最后，木马还会锁定电脑来勒索，榨干最后一点价值。当警方定位到黑客“xiaoba”时，发现他只是个未成年的小男孩。

没错，一个未成年的小男孩就可以让你的机器为他所用，为他产收益。

浏览即挖矿，小网站这样，大网站也一样

国际著名的BT资源下载网站海盗湾最近被爆出丑闻，其网站内置了门罗币的挖矿代码。只要用户打开海盗湾的网站进行浏览、操作，网站就会调用电脑或手机的算力资源来进行挖矿，然后用户的手机或电脑的温度就会在十几秒内瞬间升高几十度，电脑也会变得很卡。

海盗湾的理由是广告惹人烦，并且是大张旗鼓地赚钱，所以他们不想靠广告获得收入，可是又需要钱来运营网站，所以才内置了挖矿代码来绑架用户的电脑挖矿，这样的赚钱方式不仅悄无声息而且利润可观。

一些流量少的网站依靠这个方法，一天可以多赚几十块人民币，而流量多的网站一天则可以多赚一万多人民币。而这些钱都是损坏我们的电脑，利用我们电脑的性能和算力资源来赚取的。

（图片来源网络）

前不久高考结束，很多高校的网站都被黑客入侵植入了挖矿代码，这样考生在查询成绩的时候电脑就会被绑架用来挖矿。

黑客对这种查分网站是情有独钟，因为考生们为了能第一时间查到成绩会长时间打开网站，山东、河北、黑龙江多所重点大学的官网都有被黑客植入过挖矿代码。

这样的现象在色情网站上可谓是屡见不鲜，根据统计，在全球排名前一万的网站中，有220家网站在做这种损人利己的勾当，全网有超过三万家的网站内置了挖矿代码，这些被植入了挖矿代码的网站有68%为色情网站。

除了电脑，手机也不能幸免

在Adguard（一款广告拦截程序）统计的数据里可以看到，全球约有5亿台电脑曾被绑架挖矿。那么，你会说，我很少用电脑上网，我是个手机党。是不是这样的情况只会出现在电脑上，手机就相安无事呢？

非也非也！

来看一组数据：根据360烽火实验室发布的《2017年中国手机安全状况报告》显示，从2013年开始至2018年1月，360烽火实验室共捕获安卓平台挖矿木马1200多个，在这里面2018年1月捕获的挖矿木马就接近400个，占全部安卓平台挖矿类木马的三分之一。

矿场是块肥肉，缺乏安全保障就成待宰羔羊

上个月26号，FAB(发币)矿池嗨池宣布，其位于阿里云端的服务器6月22日下午经历了有组织的黑客攻击，矿池钱包内近10万FAB被盗，内部文件被删除一空，包括钱包及密码、数据库、程序文件等，团队经过4天努力仍无法找回，即日起，矿池将永久关闭。

至于给矿工造成的上百万元的损失，嗨池无力偿还，只有将发链(Fast Access Blockchain network，FAB)上还未解锁的手续费(金额未透露)全部补偿给矿工。

历史上，矿池失陷最为恶性的两次是，2014年8月，有劫机者利用漏洞将比特币矿工的连接重定向到自己控制的采矿池，从而收集了83000美元的矿工利润。2015年3月，几个大矿池AntPool，BW.com，NiceHash，CKPool和GHash.io等遭遇DDOS攻击，致使服务中断、部分区块链项目全网算力下降。

IPFS／Filecoin 矿场失陷历史会重演吗？

最近闹得沸沸扬扬的一件事，相信很多朋友都已经知道了。

国内的一个IPFS爱好者团队自行搭建了服务器，准备跑IPFS，因为Filecoin一直没有上线，所以先挖门罗币和storj。挖了一段时间，一直都相安无事。最近突然发现矿场里所有的机器，都被别人植入木马挖矿程序，钱包地址也被修改了。

辛苦挖矿小半年，一看回到解放前，都为黑客做了嫁衣裳。

很多人会质疑，钱包地址被修改了，难道用户不知情吗？倘若黑客想做的是一锤子买卖，那么他一次性掳走你所有的币，你当然会发觉。但是，倘若黑客是个懂得细水长流的黑客，每天只掳走你十分之一的币，你还能那么轻易发觉吗？

（图片来源网络）

如果真的出现这个情况，矿场会负责吗？大概率告诉你，不会！

据了解，目前市面上所谓的矿场多数不具备安全挖矿的条件，更不具备对抗黑客的能力，甚至可以说，他们严重缺乏这方面的安全意识。

与国内数一数二的安全机构达成合作自可确保无虞，但这需要花费较大的费用，舍不舍得花这个钱是一回事，舍得花钱找到的安全顾问是否足够安全又是一回事，何况，抱着天塌下来也不一定砸到我的侥幸心理的人比比皆是。

所有，你还敢随随便便就把矿机托管在一家名不见经传、毫无安全意识的矿机厂商那吗？

托管前，起码先签个安全协议和盗失赔偿吧！

IPFS／Filecoin挖矿比Bitcoin更难保证安全

IPFS的逻辑比BITCOIN复杂，比特大陆的矿机可以认为是嵌入式系统，只跑自己的程序，但IPFS的系统，基本都是Linux或者Windows，是一个通用的系统，安全问题会更严重。

对于IPFS来说，可能有几个方面。一个是系统漏洞的利用。包括操作系统漏洞，比如，现在的矿机大部分都是在Linux或者Windows上跑，这些操作系统和常用的软件包可能有漏洞，导致黑客入侵，修改系统配置，最关键的是修改钱包地址，或者植入黑客的挖矿程序；还有IPFS/FILECOIN自己代码的漏洞，这个可能是黑客重点看中的地方。君不见，现在安全专家有多吃香，专门出来做区块链安全的高手大有人在。

目前，有许多传统网络安全的厂商进入区块链安全领域。也有专门为区块链安全成立的创业公司，比如安全行业教父级人物余弦所创立的慢雾科技。一直致力于做分布式存储的上海储迅CTO冷波曾提到，区块链的安全需要考虑的方面更多，比如有基于Linux服务器的传统安全问题，也有用户通过电脑或者手机访问各种客户端（钱包、交易所、矿机管理工具等）的安全，还有公链代码或者智能合约本身的漏洞所造成的安全问题。每一类问题对于厂商和用户来说都是巨大的挑战。

具体到存储挖矿领域，每台矿机如果配置公网IP，一般来说能更好地获取收益和提供服务，但带来的安全问题却非常多；如果机器都运行在内网中，获得的收益和提供的服务质量也会受到影响。如果采用传统的企业级安全方案，其整体开销巨大，相对追求性价比的矿机来说，许多客户可能从直觉上就无法承受，甚至说，就挖个矿，还要考虑那么多干嘛。因此，为IPFS相关项目提供完整的安全解决方案，并不容易，但却不得不做。数据存储和区块链的世界中，安全是永远的话题，也是重中之重。

还有一个是疏于管理的问题，比如默认密码没有修改，密码安全强度太低，被撞库攻击。另外，一些传统的攻击，比如DDOS，也可能会有影响。

某种程度上来讲，数字货币的出现改变了一些黑产的敛财方式。黑客为什么对区块链项目如此感兴趣，如此大费周章？因为可以直接来钱：黑进系统，修改一个钱包地址，或者植入自己的挖矿程序即可。黑客动力更大，所以遇到的问题可能更多。区块链的安全一定会比传统企业和古典互联网面临更棘手的问题。

看看市面上这些做IPFS矿场的企业，基本没有安全预算，这在未来将会是一个很大的隐患。

你，还敢随便托管吗？

（本文内容转自星鉴网）