幽灵病毒肆虐矿场 矿工每小时损失2000元

数月以来，一个悄无声息的幽灵，正在中国的比特币矿场间肆虐。

一个神秘黑客，将病毒植入矿机，以此向矿工勒索赎金。但赎金只是一个幌子，黑客真正的目的，是劫走矿机的算力。

一个有4000台矿机的矿场，仅1个小时，就能为黑客带来2400元的利润。

病毒的源头，则指向一个由匿名者发布的矿机固件。下载固件的矿工对此毫不知情，甚至再次将病毒传播。

病毒入侵事件，暴露出了许多矿场的安全隐患。而这个病毒，已经衍生出了多个变种。矿场的危机，仍在持续。

01 中毒

矿机勒索病毒，在矿工眼里已经不新鲜了。这一次，矿工cC的矿场中了招。

1月5日晚，cC矿场的比特大陆矿机管理界面，突然变成了一张绿色的图片。图片中间是只蚂蚁，两边分别有一把矿工镐。

hAnt病毒/ 图片由受访者拍摄

这个病毒名叫hAnt。很显然，病毒的目标，是比特大陆的蚂蚁矿机。

点击这张绿色图片，可以看到黑客的留言。黑客用中英两种语言告诉矿工，要免于被攻击，只有两个办法：一，将病毒以固件补丁的方式，传染给其他矿场的至少1000台机器；二，给黑客打10个比特币。

黑客留言/ 图片由受访者拍摄

黑客扬言，不这样做的话，自己就将关闭蚂蚁矿机的风扇和过热保护，“烧毁你的矿机甚至房子”。

但在现实中，恐怕没有哪个矿工会真的给黑客打币——这种病毒问题，解决起来并不难。

“第一个解决办法，是刷矿机的SD卡，即固件。” cC告诉一本区块链记者，这相当于给矿机换一个新的操作软件。这是解决问题最直接的方式。

但要一台台刷机，很花时间。他用了4天时间，才把自己蚂蚁矿机的SD卡全部刷了一遍。在矿场瘫痪的这段时间里，他损失了几万元。

cC分析，此次矿机中毒，原因应该是客户的矿机在别的矿场跑过，刷了带病毒的固件。

如果刷SD卡无效，他还有别的办法：换掉矿机的字节库，甚至控制板，“实在不行，就把矿机卖了”。

早在2013年，就有黑客利用病毒，劫持他人电脑隐秘挖矿。但针对大型矿场矿机的攻击，却是不久前才开始出现的。

“在2018年8月到10月，问题开始集中爆发。”矿海会COO俞阳告诉一本区块链记者。

矿工王钊则表示，自己见过一种很厉害的矿机病毒。它能在半夜，偷偷把一个矿场4000台矿机的挖矿地址，改成黑客的挖矿地址。

一个小时，这个矿场就能为黑客赚到2400元。一天，就是5.76万元。

由于存在巨大的利润空间，针对矿场的“病毒挖矿”，也许将长期存在。

02 祸根

“我们追踪这个病毒已经有一段时间了。” 当谈及cC矿场的病毒时，莱比特矿池创始人江卓尔对一本区块链记者表示。

根据江卓尔掌握的数据，目前，蚂蚁比特币矿机中的S9、T9，甚至莱特币矿机L3+，都有这种病毒的感染记录。

“在矿机界，阿瓦隆矿机需要用‘树莓派’控制。后者本质上是一种 Linux 系统的微型电脑。”江卓尔表示，“而蚂蚁矿机内置了控制板，相当于集成了Linux系统，这也就给病毒带来了可乘之机。”

所以，蚂蚁矿机与家用和商用电脑一样，有可能遭到病毒入侵。

这些病毒的源头在哪里？

江卓尔和俞阳都认为，病毒的源头，大概率来自一个匿名人士发布的矿机超频固件。

“超频”一词，最早出现在骨灰电脑玩家口中。

“芯片有一个重要指标，叫做主频。相同工艺的芯片，主频越高，性能也就越强。”游戏玩家王硕表示，一般情况下，厂商会为芯片设置一个主频上限。玩家们通过技术手段突破这个上限，就叫“超频”。

但绝大多数厂商，都反对用户对芯片进行超频。“这就像运动员吃兴奋剂一样，虽然成绩提升了，但副作用也十分可怕。”王硕说。

具体到矿机上，超频可以提升矿机算力。以蚂蚁S9为例，刷超频固件可以将S9算力从13.5T提升到18T，算力增幅达33.33%。因此，矿工刷超频固件的现象非常普遍。

但与此同时，矿机的功耗也会大幅提升，矿机电源、散热系统负担加重，矿机芯片的寿命会缩短。“所以矿机厂商大多不鼓励超频。”cC说，“网络上的超频固件，都是‘民间高手’开发。”

这就给了黑客可乘之机：固件是写入硬件内部的程序，较操作系统而言更加底层。如果固件“带毒”，黑客便可以对矿机为所欲为。

这种病毒具有极强的传染性。“最开始可能是有一台或多台矿机，刷了带病毒的超频固件。它们在不同的矿场中托管时，病毒就迅速渗透到各个矿场。”俞阳说，“只要一台带病毒的矿机进了矿场，整个矿场内的机器，在几分钟内就会被感染。”

俞阳表示，这些病毒的发布者，一般都在国外，以东欧居多。

而粗心大意的矿工，也会给病毒的入侵留下缝隙。“矿机和路由器出厂时，都有默认密码。如果矿工没有修改默认密码，这些矿机在病毒面前，就像裸奔一样。”江卓尔说。

不使用来源不明的第三方固件，定期更换路由器与矿机的登录密码，也许是矿工防范病毒入侵的最佳方式。

“不仅仅是要修改密码。现在很多矿场大量采用二手矿机，一些矿厂老板回本心切，没有查杀病毒或重新刷机，就直接将矿机上架，这可能导致矿机病毒趁机传播。”币印矿池运营经理冯翀对一本区块链记者表示。

冯翀认为，如果发现矿机感染病毒，先要锁定感染源头，然后尽快利用网段或电源分隔矿机，再分组进行杀毒或刷机处理。

03 攻防战

“这一次，矿机在‘染毒’后大多没有立刻发作，而是继续偷偷散播病毒。黑客按照一定策略，在某种程度上控制了病毒的发作时间。”在江卓尔看来，这起事件的幕后黑手，十分狡猾。

他表示，从技术分析上看，病毒的开发者应该不是中国人，但这个超频固件最主要的传播渠道，却是国内的百度网盘。

“这意味着两个可能性：一是黑客刻意为之，专门针对矿场集中的中国进行攻击；二是中国矿工们在发现超频固件带毒前，无意中帮助了病毒的传播。”江卓尔表示。

最令江卓尔感到神奇的是，病毒也在不断升级进化，如今已经演变出了多个版本：

“现在的新版本病毒，甚至可以监控矿工修改密码的过程，并记录下新密码。”

这意味着，如果矿工没能彻底清理病毒，即便修改了矿机默认密码，病毒仍能卷土重来。

矿工与黑客的攻防战仍在继续，但藏在暗处的黑客，显然更加主动。

最让矿工们气愤的是，黑客选择的时间让人防不胜防，比如通常在半夜偷偷切换账户。还有的黑客只针对部分矿机，一天只偷几个小时算力，让人难以觉察。

在“病毒挖矿”出现后，新的商机也随之而来——许多矿场管理软件的卖家，开始将“反病毒”作为宣传口号。

矿工王钊也在开发矿场管理软件。他自称开发了业界唯一针对ASIC矿机的管理软件，它可以自动检测矿机运行状况，也能批量管理矿机。

“一旦有矿机出现算力异常，矿工会第一时间得到通知。”王钊称，“已经有七八万台矿机在使用我们的软件了。”

但矿机管理软件，并不能保证矿机的绝对安全，甚至有可能成为黑客的新攻击点。

一位矿圈资深人士向一本区块链记者透露，2017年，某个大型挖矿集团曾经遭遇黑客的“定向打击”。黑客当时的切入点，正是这家集团自主开发的矿机管理软件。

“这可能是矿圈历史上最大的一次黑客攻击，比特币的全网算力因此下降了3%。”他表示。

潜伏在暗处的黑客，让比特币玩家们忧心忡忡。有人甚至担心，比特币网络是否会因黑客的一次突然攻击，全面崩溃。

“很难出现这种情况。现在比特币的算力仍然非常分散，矿场的数量众多，黑客光是摸清矿场的网络位置，就已经十分困难了。”江卓尔表示。

尽管黑客诡计多端，但如今比特币的去中心化结构，已经让整个网络建立起了难以动摇的稳定性。

病毒也许不会毁掉比特币，但对于矿工而言，大量矿机中毒，仍然是件令人头痛的事。一个系统真正的漏洞，永远是人。只有防微杜渐，矿工们才能保卫矿机的安全。

*文中部分受访者为化名