2017年数字加密货币安全报告

0×1数字加密货币及其基本获取方式

数字加密货币（Digital Cryptocurrency），也称为加密货币，其特点是使用密码学来保证交易安全和控制交易单元的创建。 是数字货币（或虚拟货币）的一种，如大家比较熟悉的比特币、莱特币、门罗币等。自2009年世界上第一个比特币区块链诞生以来，各种数字加密货币层出不穷，而目前有1500多种。 2017年，“炒币”风暴袭来，也将比特币、以太坊、比特币现金的价格推至历史高位。

（图一：数字加密货币市值排名——数据来源：coinmarketcap.com）

近年来最疯狂的升值是比特币。 在比特币诞生之初，当时1美元的价格可以买到大约1300个比特币，而今天比特币的价格已经接近15000美元，最高时甚至接近20000美元。 如果在2009年花15000美元购买比特币，大约可以买到2000万个左右，基本相当于比特币的总量。 目前已开采比特币1670万枚，约占总量的79.90%。 价格上涨和加密货币数量减少吸引了越来越多的人通过各种方式获取加密货币。

（图2：2017年比特币交易价格走势图——数据来源：coinbase）

挖矿是获取数字加密货币最基本的方式。 挖矿，通俗地说，就是猜数字并解决。 如果您猜对了，您可以获得数字加密货币奖励。 在数字加密货币网络中，每隔一段时间就会产生一个区块，区块中包含若干个加密数字货币。 要想获得这些数字加密货币，就必须对其进行解密，即猜密码。 可以获得相应的数字货币，这就是“挖矿”。 要了解挖矿，我们还需要了解以下概念。

1.计算能力

算力，通俗地说就是每秒猜出密码的次数，用来评价挖矿速度。 由于单位时间内产生的加密货币总量基本固定，密码破解的难度会随着全网算力的变化而变化——全网算力越大，密码设置的越复杂，破解难度越大。 以比特币为例，平均每10分钟产生一个比特币区块，每个区块包含12.5个比特币（每4年减半，2009年初每个区块50个比特币，2013年25个比特币，2016年为12.5个比特币)，每小时约产生81个比特币，人民币汇率约为810万。 由于每小时产生的比特币总量相对固定，更多的算力势必会增加破解密码的难度。 目前挖矿难度已经达到2万亿。

（图3：2017年比特币日产量及挖矿难度趋势——数据来源：比特凡）

2、矿机

早期挖矿依赖CPU和GPU，效率低下。 为了增加计算能力，硬件制造商制造了专门用于挖矿的机器并针对特定的挖矿算法进行了优化。 这种机器被称为矿机，价格从几百元到几十万元不等。 按照目前中国大部分地区的电费为0.7元计算，一台普通矿机每天的电费为21.84元。

（图4：500台矿机日盈利概览——图片来自网络）

3.我的

矿机的投入让挖矿效率至少提升了数万倍，而这些矿机的聚集地就是矿场。 和金属矿山一样，这些数字加密货币矿山也会分布在山区。 不同的是，数字加密货币矿山不需要挖山挖石。 选择这些地区的重要原因之一是挖矿耗电太大。 目前，仅比特币挖矿一项所消耗的电力就已达10亿千瓦时，预计到2020年，将耗尽全球所有电力。 因此，大多数矿山位于深山和水电站附近，以节省成本。

（图5：中国主要数字加密货币矿场分布——数据来源：巴比特）

4、矿池

由于挖矿难度越来越大，一般规模的矿场和个体矿工猜出正确密码的机会很小，所以他们共同打造了一个平台，所有有算力的人都可以根据自己的算力参与挖矿。 为了分配奖金，这种挖矿平台被称为矿池。

（图6：全球矿池算力分布——数据来源：BTC.COM）

0×2数字加密货币面临哪些安全威胁

“挖矿”是获取数字加密货币的最基本方式。 通过“挖矿”获得更多币种的唯一途径就是提高算力，但初期的资金投入非常巨大。 以一个中型矿场（10000台矿机）为例，一台普通矿机约25000元人民币，仅前期机器采购成本就高达2.5亿人民币，而且持续的电费和后期的维护成本也是巨大的。 有没有办法不用租场地、不用自费电费、不用买矿机就可以获得数字加密币呢？ 黑客会非常肯定地说：是的！

进入2017年，数字加密货币引发的互联网安全问题频频爆发。 不法分子正是看中了数字加密货币的匿名性，采用勒索、盗窃、非法挖矿等手段获取大量不义之财。

1.勒索

1) WannaCry 勒索软件

2017年5月，WannaCry勒索病毒借助“永恒之蓝”漏洞肆虐全球，波及150多个国家。 一些政府机构、大学和医院的电脑屏幕被“染”成红色，要求中毒用户在 72 小时内支付价值 300 美元的比特币，并在 3 天后支付双倍赎金。 如果 7 天后拒绝赎金，计算机文件将被永久加密。 据相关报道，WannaCry勒索软件已在全球造成超过80亿美元的损失。

（图7：WannaCry勒索软件界面）

2) NotPetya 勒索软件

无独有偶，2017年6月爆发的NotPetya勒索病毒也利用“永恒之蓝”漏洞进行传播。 该病毒会修改系统的MBR引导代码，从而使病毒在计算机重新启动时得以执行。 病毒会在电脑开机时提示用户电脑正在扫描磁盘，但实际上病毒是在进行文件加密等操作。

（图8：NotPetya假盘扫描界面）

当所有加密操作完成后，病毒会弹出一条勒索信息，要求受害者支付价值 300 美元的比特币。

（图9：NotPetya勒索软件界面）

并且在2017年7月，病毒作者公开了Petya系列勒索软件的所有密钥。

3) 坏兔子勒索软件

随着“永恒之蓝”漏洞的逐步修复比特币不义之财是什么，勒索病毒也开始寻找其他新的传播途径。 例如2017年10月爆发的坏兔子（Bad Rabbit）勒索病毒就采用了挂马的方式：攻击者首先入侵新闻媒体网站，然后利用这些新闻网站发起水坑攻击。 当用户浏览这些网站时，会在用户的浏览器中弹出一个变相的Adobe flash player升级对话框。 一旦用户点击安装按钮，计算机就会下载 Bad Rabbit 勒索软件。

（图10：坏兔子的假Adobe Flash Player升级界面）

Bad Rabbit还会感染系统MBR代码，被中招用户的电脑在第二次重启时会弹出勒索界面，要求受害者在40小时内支付0.05个比特币（当时约合300美元）。

（图11：坏兔子勒索软件界面）

（图12：2017年数字加密货币勒索病毒时间线）

回顾2017年的数字加密货币勒索事件，俄罗斯无疑是勒索病毒“上门”最多的国家之一。 有安全专家表示，俄罗斯之所以特别容易受到勒索软件的攻击，与其计算机基础设施薄弱、网络安全管理不严、国内存在大量盗版软件等因素密切相关。

4）现实中的数字加密货币勒索

数字加密货币热潮带来的犯罪不仅存在于网络上，也存在于现实生活中。 据乌克兰媒体报道，40岁的俄罗斯公民勒纳在乌克兰拥有多家与加密挖矿和区块链相关的初创公司，是当时全球最大的数字加密货币交易平台之一。 勒纳在乌克兰出差时，在办公室附近被绑架，并被要求支付 100 万美元的比特币。

2.盗窃

除了勒索软件造成的损失外，盗窃也会给数字加密货币的持有者造成不小的损失。 从数字加密货币诞生之初，数字加密货币被盗的新闻就层出不穷。

1）交易平台被黑

世界上最严重的比特币盗窃案之一发生在 2014 年。据报道，当时全球最大的比特币交易所运营商 Mt.Gox 负责当时超过 80% 的比特币交易。 被盗并已在东京法院申请破产。 进入2017年，数字加密货币交易平台被攻击的消息屡见不鲜，个别交易平台一年内遭遇多次入侵。 比如韩国的YouBit数字加密货币交易平台今年就两次遭到攻击：2017年4月，5月第一次入侵，造成YouBit损失近4000个比特币。 按照当时的价格，总损失价值约为360万美元； 第二次入侵发生在 2017 年 12 月，导致 YouBit 交易平台破产。

2）个人钱包被黑

2017年，随着数字加密货币价格的飙升，不法分子无孔不入，试图利用各种黑客技术窃取个人和交易平台钱包密码，转移加密货币。

网站钓鱼：钓鱼网站bitcoinqod.org和官网域名bitcoin god只有一个字母：“q”和“g”的区别。 钓鱼页面要求用户输入“爱心捐赠”钱包密码，一旦用户在钓鱼界面输入钱包密码，钱包内的比特币将全部转走。

（图13：假官网比特币大神）

加密货币盗窃木马：2017年6月活跃的秘密洗牌病毒（CryptoShuffler）可以监听用户的剪贴板，并对剪贴板中的数据进行实时匹配和替换（匹配算法采用正则匹配）。 转账或交易时，剪贴板中保存的乙方钱包地址将替换为攻击者设置的钱包地址。 该木马支持盗取比特币、达世币、狗狗币等9种数字加密货币：

（图 14：CryptoShuffler 为钱包地址匹配正则表达式）

（图15：CryptoShuffler钱包地址）

目前仅攻击者的比特币账户就收到了23枚比特币，价值35万美元，其他钱包地址也将有数万甚至数万美元。

（图16：CryptoShuffler攻击者比特币钱包信息）

（图17：2017年数字加密货币交易平台被攻击时间线）

3.挖矿木马

整个2017年，行业内频频爆发各种挖矿木马，木马隐藏手段也越来越高明，实现了从“裸奔”到“隐身”的升级。

1）“裸奔期”：僵尸网络挖矿

在上半年的“裸奔期”，挖矿木马并没有隐藏在普通软件中，而是成为了僵尸网络新的扩张“业务”，实现了挖矿和DDoS双管齐下。

2017 年 5 月发现的 Adylkuzz 僵尸网络甚至早于 WannaCry，影响了全球数十万台机器。 有趣的是，在成功入侵后，Adylkuzz 会利用“永恒之蓝”漏洞来阻止其他病毒也利用此类漏洞，这在一定程度上限制了 WannaCry 的传播。 木马入侵成功​​后，会连接C&C服务器，接受挖矿指令。 据了解，该木马目前专用于门罗币挖矿。

（图18：Adylkuzz挖矿协议——图片来自网络）

2）“隐匿期”：植入普通软件挖矿

下半年的“隐匿期”，挖矿木马开始潜伏在浏览器、外挂、外挂等普通软件中传播。

(a) 浏览器插件挖矿

2017年底，一款名为Archive Poster的浏览器插件被爆，植入挖矿木马，影响数十万用户机器。 Archive Poster 的功能是协助用户在社交平台“糖布雷”上进行多账号协同。 开发者表示，经调查发现，一名前团队成员邮箱被黑，导致产品被植入挖矿木马。

（图19：Archive Poster插件截图）

(b) 插件辅助挖矿

2017年底，腾讯电脑管家发现了一款​​名为“tlMiner”的挖矿木马，该木马隐藏在《绝地求生》的辅助程序中并传播开来。 由于《PUBG Mobile》游戏对电脑性能要求很高，不法分子瞄准《PUBG Mobile》玩家的电脑就相当于找到一台“优秀”的矿机。 该木马由某游戏辅助团队发起，单日影响用户多达20万。

（图20：携带“tlMiner”挖矿木马的辅助界面）

3）“隐身期”：网页挖矿

下半年依然是挖矿木马的“潜行期”。 挖矿木马不再有可执行文件，而是直接嵌入到网页中，在用户上网阅读小说和视频的同时在后台偷偷运行。

2017年9月，数百家色情、小说、游戏网站在其网页中嵌入挖矿Java脚本。 一旦用户进入此类网站，JS脚本将自动执行，占用大量机器资源来挖掘数字加密货币。 导致电脑异常死机。

（图21：JS挖矿木马导致CPU占用率快速飙升）

（图22：JS矿场类型分布）

（图23：2017年典型挖矿木马攻击时间线）

通过观察2017年的挖矿木马攻击事件，也可以发现，不法分子喜欢挖的数字加密货币并不是比特币，而是门罗币。 目前单个门罗币的交易价格在2500元人民币以上。

（图24：门罗币走势——数据来源：coinmarketcap.com）

与比特币相比，门罗币具有以下优势：

a) 交易匿名

比特币可以查询每笔交易的金额、交易时间、发送方和接收方等信息，而门罗币采用RingCT（环加密）匿名技术，无法追溯到交易双方。 另外比特币不义之财是什么，比特币不隐藏交易金额，所以只要知道一个人的地址，就可以计算出他的比特币资产余额和资金流向情况。

b) 高级挖矿算法

比特币挖矿主要依靠大量专门的专用集成电路（ASIC），其算法几乎完全扼杀了普通计算机用户参与比特币挖矿的可能性。 相比之下，Monero的挖矿算法基于CryptoNight，不依赖于ASIC硬件，可以使用任何CPU或GPU资源进行挖矿。 即使是普通电脑用户也可以参与门罗币挖矿。 .

0×3 数字加密货币未来安全态势

自2017年4月“永恒之蓝”漏洞成为挖矿木马的温床以来，WannaCry、NotPetya等勒索软件相继相继出现，每一次病毒爆发都是一场全球性的灾难。

（图25：2017年挖矿木马主要传播途径）

随着数字加密货币价格的持续上涨，挖矿难度的不断增加，以及数字加密货币数量的减少，可以预见，2018年数字货币引发的犯罪活动或将呈现高发态势。

一、传播方式

漏洞利用传播迅速、影响广泛，预计2018年仍将是不法分子获取数字加密货币的重要手段。

2、营利手段

持有少量数字加密货币的用户可能不再是黑客的主要目标。 2018年可能会出现大量针对持有大量数字加密货币的群体和用户的APT攻击。 对于普通网民来说，黑客更倾向于在自己的电脑中植入挖矿木马。

3.隐瞒

隐藏在网页中的挖矿脚本由于没有可执行文件，非常隐秘，2018年可能会越来越多隐藏在各种网站中进行挖矿的挖矿脚本。 此外，一些玩家对游戏辅助的“好感”可能会促使不法分子在游戏辅助等常规软件中插入更多的恶意程序。

0×4 安全建议

1、开启系统自动更新，及时打补丁，防止恶意木马利用

2、服务器避免使用弱密码，以免给不法分子可乘之机

3、当机器卡慢时，应立即检查CPU占用率，发现可疑进程可及时关闭

4.不浏览色情、辅助等标记为不可信任的网站

5、不要使用辅助和未知软件，使用未知软件前使用腾讯电脑管家等安全软件进行安全扫描