谨防 Chia 和 Swarm 挖矿木马感染您的主机

区块天眼APP消息：2021年上半年，虚拟加密货币（Cryptocurrency，以下简称“虚拟货币”）价格屡创新高的消息一再引起人们的关注，其中比特币是公众最熟悉的。虚拟货币。特斯拉还在 2 月份高调宣布购买价值 15 亿美元的比特币，并计划开始接受比特币作为其电动汽车产品的支付方式[1]。

特斯拉CEO埃隆·马斯克也在国外社交平台上公开表达了对狗狗币[2]的大力支持，使其价格高达每枚0.73美元，较年初大幅上涨近100倍（截至 2021 年 6 月 29 日，狗狗币已回落至 0.$26/piece）。除了吸引大量资本涌入之外，虚拟货币的疯狂也引起了很多黑人的关注。

腾讯安全平台部宙斯盾流量安全分析系统监测到，2021年上半年，与加密货币挖矿相关的恶意样本数量明显增加。一种新型的挖矿方式正逐渐出现在我们的视野中。

概览

我相信大多数安全从业者除了比特币之外，还熟悉门罗币。门罗币（Monero，代号XMR）是2014年4月创建的开源加密货币，采用不同于比特币的CryptoNote协议[3]，更适合CPU挖矿。

门罗币的这一特性导致其被黑客广泛使用。目前挖矿流量特征，Aegis交通安全分析系统捕获的大部分挖矿脚本都是在挖矿门罗币。一旦恶意攻击者在服务器上植入门罗币挖矿脚本，最突出的表现就是CPU占用率大幅提升。

图1 Monero矿池页面

2021年6月，宙斯之盾流量安全分析系统开始监测某类挖矿脚本。服务器植入脚本后，CPU并没有表现出很高的利用率，但是硬盘被占用了。空间大。

深入了解后发现，有一种虚拟货币占用硬盘空间和网络带宽进行挖矿。这类虚拟货币的初衷是为了达到去中心化存储和通信的目的。比较有代表性的币种有 Filecoin、Chia、Swarm 和 Dfinity。

我们在 6 月份检测到 Chia 的 Swarm 相关挖矿脚本，几天内感染人数从几十个增加到数百个，其中 Swarm 占大多数。

一个典型的Swarm挖矿脚本的主要流程如下：

图2 Swarm挖矿脚本流程图

图3 Swarm挖矿脚本-主函数

Swarm 简介

Swarm 项目的火爆离不开以太坊。 Swarm 项目是以太坊的官方项目之一。

不难看出，以太坊生态的繁荣造就了Swarm项目的火爆。同时，Swarm 项目还可以为以太坊网络中的应用提供存储、带宽等资源。

目前，以太坊网络上很多项目的数据仍然存储在传统中心化云服务商的服务器中。一旦这些服务器出现问题，就意味着用户的数据和资产也会丢失。这时候Swarm等项目的优势就体现出来了，可以通过去中心化存储解决这个问题。

图4 Swarm官网

通过阅读Swarm项目的白皮书[5]可以发现挖矿流量特征，Swarm项目中的节点共同组成了一个巨大的P2P网络，在这个网络中，每个节点都可以提供数据存储和内容分发服务。

简单来说，如果要使用 Swarm 存储数据，需要使用 Swarm 项目中的通证 BZZ。这个BZZ代币也是Swarm挖矿的收益。

如果一个节点能够提供更多的存储空间和带宽，那么他也将获得更多的BZZ代币，即挖矿收益。

类似于现有产品，Swarm的设计使其更像是去中心化CDN（内容分发网络）或网盘的实现。过去我们需要去各个 CDN 或网盘提供商那里购买他们的 CDN 或网盘服务，而现在我们只需要在 Swarm 上支付 BZZ 代币即可获得 CDN 或网盘等服务。

而且我们的数据并不是唯一存储在某个服务商的服务器上，而是分散存储在多个地方，提高了数据的安全性，避免了数据被监控的情况。

那么这就很好理解了挖Swarm代币BZZ和挖门罗币的区别。挖矿Monero需要大量的CPU资源，消耗大量电力，而挖矿BZZ不需要大量的计算资源，只需要占用存储空间和带宽，就可以获得收益，而且功耗非常小，是一种比较环保的采矿方式。

图 5 Swarm 节点之间的 Kademlia 网络连接

一个节点将与至少八个直接相邻的节点完全连接，

从而形成一个庞大而紧密相连的网络

特征和检测

虽然挖掘 Swarm 代币 BZZ 不是 CPU 密集型的，但这并不意味着我们无法检测到它的存在。

在挖矿Swarm代币BZZ的过程中，主要特点是带宽和硬盘空间的消耗。如果您在日常使用电脑的过程中发现硬盘空间突然被占用，并且有程序占用大量空间网络带宽，可以检查是否植入了Swarm挖矿木马。

同时，Swarm 挖矿还将具有以下具体特征供网络安全从业者判断：

1. 流量特征

挖矿门罗币时，挖矿程序需要连接矿池，将计算结果和区块等信息与矿池同步，其中还包括登录的流程，所以门罗币挖矿的流程特征很明显.

挖矿BZZ的原理与门罗币完全不同，但从官方文档可以知道，挖矿程序必须连接到区块链网络。官方建议搭建XDAI区块链节点（以下简称交易所端点）接入区块链网络，或者使用stake.getblock.io等公共服务接入区块链网络。

Swarm挖矿程序与XDAI区块链节点的通信流量如下：

图6 挖矿程序与交易所断线端点的通信流程

从上图可以看出，挖矿程序与交易所端点通信时，也使用了jsonrpc协议，和门罗币挖矿一样，数据包的强特性很明显，可以用于数据包。检测到数据包中的关键字或结构。

2. 文档特征

Swarm项目使用的官方挖矿软件是Bee()。本软件用go编写，支持linux、windows系统，支持ARM、X86等架构。

通过运行官方程序搭建Swarm项目的挖矿节点可以发现，运行程序后，会在配置文件指定的data-dir目录下创建以下三个目录：

Keys目录：节点初始化过程中产生的key存放在这个目录下，是整个节点中最重要的数据。

Statestore 目录：该目录存储当前节点的相关信息，例如阻止列表、SWAP 余额等。

Localstore目录：该目录是当前节点的区块数据。

3.端口特性

Swarm 项目默认使用三个端口 1633、1634 和 1635 在运行时进行数据交换。

端口 1633：它是默认的 HTTP API 端口。您可以通过HTTP协议访问该端口，查看节点的运行情况，上传下载文件等操作。

1634端口：P2P默认端口，与外部节点进行P2P连接时需要。

端口 1635：它是默认调试端口。只有在配置文件中将 debug-api-enable 设置为 True 时才需要开启该端口。

通过检测上述端口的打开和连接，也可以知道主机是否在运行Swarm挖矿程序Bee。

总结与展望

今年上半年，Swarm 项目发起了不抵押挖矿的测试活动，吸引了大量矿工参与，也出现了云服务器商出售 Swarm 节点的案例。

6月22日，Swarm项目迎来了1.0主网[6]的上线，将项目的热度推向了高潮。在大V展台和以太坊的生态支持下，Swarm项目已经成为当前分布式存储区块链项目中的佼佼者。

由于Swarm挖矿还有质押、最小磁盘空间和高速带宽的要求，而且主网上线后币价不稳定，未来的普及可能还有个问号，但只要由于有利润，它可能被黑客等非法攻击者使用。未来个人和公司都需要对此类采矿行为采取更多预防措施，以防万一。