2017年四季度,越來越多利用程序非法挖礦的事件被曝出來。一個叫“網絡危機聯盟”的組織集合了一些網絡安全專家去監控這些違法行為,其中包括著名網絡安全軟件公司McAfee的專家。幾天前,他們發布了一份深度報道,公布了最近的研究發現,包括現在網絡攻擊的現狀、對大眾的影響,以及我們該如何去保護自己。下面,就和沖科技一起來看看,情況到底有多壞。日趨嚴重的網絡攻擊
網絡挖礦攻擊,也叫加密劫持,是黑客利用你的電腦、瀏覽器、物聯網設備、移動設備和網絡基礎設施,竊取這些機器的處理能力來挖掘加密貨幣。這種攻擊在之前是幾乎沒有的,2017年底才漸漸多了起來,2018年就開始井噴了。
BM:從稅收的角度來看 多數情況下DeFi結構極其低效:EOS創始人BM(Daniel Larimer)剛剛發推稱,使用DeFi的問題在于,稅法的設計并沒有考慮不尋常的結構。從稅收的角度來看,在許多情況下,這種結構極其低效。[2020/8/31]
2014-2018年,發生加密劫持的數量根據CTA幾個成員呈現的數據,我們合起來看了一下,發現在2018年這種非法網絡挖礦攻擊的次數,比去年增加了459%。而且從最近的數據顯示,根本沒有放緩的跡象。網絡罪犯都是加密貨幣非常早期的使用者,他們用比特幣在暗網上交易。以前他們會使用勒索軟件要求我們用比特幣交贖金,現在開始偷偷利用我們的電腦來挖礦了。很多這種加密劫持并不復雜,黑客利用簡單的垃圾郵件或者釣魚網站攻擊,很多工具都是現成的,非常簡單。黑客的成本并不大,而且可以快速地覆蓋大量受害者,從每一個人那里得到少量的加密貨幣,積少成多。網絡安全設備供應商Fortinet有13%的客戶公司在去年第4季度發現被加密劫持,到了今年1月份,這個數據迅速攀升到了28%。在McAfee的半年報告中,今年1月份就發現了290萬起加密挾持的記錄。這些網絡罪犯已經不怎么用勒索軟件和DDoS攻擊了,都開始用加密劫持。比如2018年2月,有一個叫BlackRuby的組織就在他們的軟件中加入了一個挖礦工具,去挖門羅幣。還有Mirai僵尸網絡,這個2016年著名的利用DDoS攻擊去黑物聯網設備的組織,現在也把目標轉移到了物聯網挖礦的僵尸網絡。這種加密劫持攻擊不僅收益大,還不容易被抓到。不像勒索軟件和DDoS攻擊那么張揚,受害者根本注意不到,可以長時間進行,來換取穩定的收益。總結下來,加密劫持案件越來越多,主要原因有幾個:加密貨幣價值增加;本身通過電腦和網絡就可以獲取;加密劫持操作非常簡單;企業和個人安全意識太差。加密劫持的現狀
觀點:長期來看 DeFi熱潮終將利好以太坊:以太坊奶王Ryan Sean Adams在其最新的Bankless newsletter中指出,一些頂級的DeFi代幣,即COMP、AAVE和SNX,在過去一周內大幅上漲,但以太坊同期僅勉強達成了3%的漲幅。Adams在分析了空頭和多頭的觀點后總結稱,看漲的觀點更有可能是準確的,原因有三個。首先,鎖定在DeFi中的ETH數量顯著增加。自從COMP代幣分發開始,另外40萬枚ETH已經被鎖定在DeFi智能合約中,現在被鎖定的ETH總數已經超過300萬枚。
此外,Adams還提到,一位基金經理正在調整其投資組合以減少比特幣,并增加以太坊。今年早些時候,有報道稱,今年開采的所有以太坊中,超過一半被灰度購入,進一步鞏固了機構勢頭轉變的說法。
第三個原因來自Protocol Sink理論,即擁有最高結算保證的DeFi協議成為加密銀行——甚至可能是商業銀行和國家銀行的基礎層。
除此之外,看好以太坊的另一個原因是ETH 2.0的推出,這將預示著PoS和Layer 2可擴展性解決方案的出現。同時,以太坊的鏈上指標也在不斷改善,創下歷史新高。(BeInCrypto)[2020/6/23]
這種攻擊現在分為兩種途徑。一種是通過編輯好的可執行文檔來攻擊,這種叫“二進制挖礦”。還有一種是通過瀏覽器攻擊,叫做“瀏覽器挖礦”。二進制挖礦攻擊是在傳輸數據的時候,通常是使用垃圾郵件或者工具包來攻擊。有很多開源的工具可以用來挖礦,比如XMRig是用來挖門羅幣的,這是個合法的工具,但總是被不法分子用在加密劫持攻擊上。2018年1月,PaloAlto網絡公司就發現了超過1500萬用戶感染了這種二進制挖礦攻擊。這次攻擊是通過惡意廣告來進行的,XMRig被下載到受害者的系統里,并且受害者毫不知情。
動態 | 報告:從具體作案手法來看,挖礦成為黑產變現的重要渠道:近日,騰訊安全正式對外發布《2019上半年企業安全報告》。報告顯示,回顧2019年上半年,企業安全形勢仍不容樂觀,病攻擊再度呈現上升趨勢。挖礦木馬在今年上半年因挖礦產幣效率降低,在傳播上呈現下降趨勢。安全專家預測,2019年勒索病與挖礦木馬依然是企業安全的重要威脅。此外,從具體作案手法來看,挖礦成為黑產變現的重要渠道,預計下半年終端電腦感染挖礦木馬的占比仍將繼續上升。[2019/8/29]
那次二進制挖礦攻擊,受害者的點擊次數常見的用在瀏覽器挖礦中的工具是Coinhive。它本來是合法的,通過貨幣化系統資源來為廣告收入提供替代方案,但問題在于,它在運行的時候是不通知用戶的,用戶根本不知道有挖礦的代碼存在。就像是最近FacebookMessenger和星巴克的WiFi被攻擊的情況一樣。今年7月2日,PublicWWW就有2.3萬個網站里面包含了Coinhive挖礦代碼。
聲音 | 張瑞東:從區塊鏈技術發展的生命周期角度來看 區塊鏈技術還很不成熟:浙江大學互聯網金融研究院區塊鏈研究室主任張瑞東在接受金融界的采訪時,針對區塊鏈技術質疑實際應用場景的問題表示:區塊鏈從技術發展的生命周期角度來看,還很不成熟,其實遠沒有到大規模服務實體經濟的階段。可能有創新點存在,也有新的嘗試不斷的付諸實踐。但如果用現在常用的說法工業革命4. 0來對比的話,區塊鏈所在的領域或許剛完成1. 0時代的革命,一個領域的全面適用需要很多細節的技術突破。目前區塊鏈應用最多的領域還是加密貨幣,而實際上成型的幣種,即節點個數達到數萬個的,僅有比特幣和以太幣兩種。所謂的1500種加密貨幣確實存在,但幾乎都節點太少、流動性匱乏。10月9號到10號的股票市場波動,也讓所有加密貨幣在短短24小時的時間內損失了130億美元的“市值”,這已經接近全部虛擬貨幣市值的6.5%,從側面展示了流動性匱乏的市場中加密貨幣市值是不穩定的。[2018/12/2]
Coinhive腳本的例子當然除了通過網站攻擊,黑客們還有其他稍微復雜一點的方式,比如利用名為EternalBlue的漏洞,并且黑客們也有新辦法躲避追蹤,比如一種叫“離開地面生活”的方法,不僅能躲開追蹤,還能提高挖礦能力。加密劫持的影響
不管從短期還是長期來看,這種攻擊對我們都有影響:潛在的安全問題,容易引來下一次攻擊;對機器也有損傷;公司正常的經營會受到影響。能夠以未經授權的方式使用電腦,說明系統肯定存在漏洞,黑客們可以隨意利用這些漏洞。利用CPU挖礦同時也會耗能耗電。小型設備會因此面臨電池壽命的問題,對于大型系統來說,故障率會增加,可能需要高額的維修費來支持多余的負載。推薦的防御建議
好消息是,防御加密劫持的方法和其他的都差不多,都是增強安全性的一些建議。時常監測電腦耗能和CPU的情況,及時發現不正常的情況;在電腦上搜索一些文本文檔,關鍵詞是Crypto、Coinhive、XMR、Monero,還有cpuminer;別跟礦池聯系;使用瀏覽器插件來阻止瀏覽器加密劫持。他們發現,這種攻擊的密集程度似乎和比特幣價格呈正相關,只要比特幣還有價值,黑客就不會停手。
2018年1月開始,加密劫持的比例與比特幣價格的關系這份報告就是想提醒大家,知道加密劫持這種攻擊的危險性。通過提高機器的安全性,被攻擊的難度會加大。不過技術總是在更新,CTA也會隨時監測最新動向。
回顧2008年,中本聰發表比特幣白皮書,截止今天區塊鏈已經發展了近十年的時間。在這十年間,區塊鏈從概念開始落地,從晦澀的技術詞匯不斷衍變成與各行業結合的美好愿景.
1900/1/1 0:00:00比特大陸又陷上市危機傳言風波。9月20日晚,Coingeek創始人CalvinAyre在Twitter上發文表示,他認為比特大陸將扼殺IPO并嘗試重組,問題是他們的技術不再起作用了,他們在其魯莽.
1900/1/1 0:00:00越來越多的人認為,區塊鏈只有在技術組件中才能發揮其最大的價值。不管是大數據、云計算、AI還是區塊鏈都是在最大化數據的價值,比如有采集數據的、有分析數據的、有利用數據的,而區塊鏈只不過提供了可信、.
1900/1/1 0:00:00\"\u002F\\> 頭條 《百度區塊鏈白皮書V1.0》發布,百度已落地信息溯源等六大應用9月26日,百度區塊鏈實驗室發布《百度區塊鏈白皮書V1.0》.
1900/1/1 0:00:008月20日,58集團TEG-區塊鏈實驗室發布了58專屬區塊鏈服務平臺——58BaaS。其公告中寫道,58BaaS整體業務涵蓋應用服務層、平臺服務層、底層核心平臺三大架構,提供一整套區塊鏈部署、應.
1900/1/1 0:00:00編者按:本文來自哈希派,作者:不碎,星球日報經授權轉載。在閃電網絡實驗室發布的主網測試版lnd0.4聲明中提到,這個版本是為閃電網絡應用程序的開發者、技術用戶以及預期節點準備的,不建議普通用戶進.
1900/1/1 0:00:00