Weby používají váš prohlížeč k těžbě krypto. Může to být dobrá věc

Jméno říká všechno: WannaMine. Panda, španělská společnost zabývající se kybernetickou bezpečností v Bilbau, na začátku února napsala, že „nová varianta malwaru převzala počítače po celém světě a unesla je, aby těžily kryptoměnu zvanou Monero.“

Virus si vzpomíná na WannaCry, červ, který v květnu 2017 zametl svět, šifroval data infikovaných systémů a požadoval výkupné bitcoinů, aby je mohl dešifrovat. Ale WannaMine používá odlišný přístup k vyhazování kryptoměny ze svých obětí: využívá výpočetní sílu svých strojů k tomu, aby znovu a znovu spustila algoritmus zvaný CryptoNight a doufala, že najde hash splňující určitá kritéria dříve, než to udělají ostatní horníci. Když k tomu dojde, těží se nový blok, čímž se vytvoří kus nového monera - v době psaní asi 1 500 $ - a uloží se neočekávané peníze do peněženky útočníka.

Šance, že kterýkoli daný horník najde první blok jako první a obdrží odměnu, jsou malé, ale infikují dost procesorů a vy můžete hacknout společně slušný tok příjmů. Protože oběť platí účty za elektřinu a poskytuje hardware, jsou náklady na útočníka zanedbatelné. (Viz také: Jak funguje těžba bitcoinů? )

„Koncept kontroly“

11. února byl odhalen podobný, ale spíše velkolepý útok. Výzkumníci v oblasti kybernetické bezpečnosti Scott Helme a Ian Thornton-Trump (phat_hobbit) si všimli, že stránky z britské národní zdravotnické služby až po americké soudy unesly prohlížeče návštěvníků na moje monero.

Hmm, tak jo, to je * špatné *. Právě jsem měl @phat_hobbit poukazovat na to, že @ICOnews má na svém webu nainstalován kryptominer ... pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11. února 2018

Viníkem byl plugin pro převod textu na řeč oblíbený u anglofonních vlád nazývaných Browsealoud, který byl infikován Coinhive, monero minerem v prohlížeči, který nemusí být sám o sobě malware: jeho poskytovatelé jej prezentují jako legitimní způsob, jak zpeněžit provoz, ale položte svým uživatelům příliš málo otázek, podle základní desky.

Zatím 2018. Ale něco je pryč. Útočníci nic neudělali: asi 24 dolarů, což nebylo ani vyplaceno, řekl Coinhive základní desce. A jak Helme zdůraznil, útok mohl být mnohem horší: „Útočníci měli libovolnou injekci skriptu na tisíce webů včetně mnoha webových stránek NHS zde v Anglii.“ Mohli ukradnout lodní zásoby extrémně cenných osobních údajů. Ale ne.

A co víc, vzhledem k zvolené metodě útoku by si útočníci měli vybrat cíle s vyšším provozem, méně prozkoumané a s nižší úrovní zabezpečení: pornografické stránky jsou u kryptominerů oblíbené, protože splňují tato kritéria.

Zdá se, že cílem únosců nebylo vydělávat peníze. Možná, jak to řekl Matt Burgess z Wired UK - parafrázující analytik Malwarebytes Chris Boyd - „místo toho vytvářeli důkaz konceptu“.

Crypto narušuje reklamní model?

Jaký by to mohl být koncept, Boyd nespecifikoval. „Podívejme se, jaké šílené věci lze s těmito skripty udělat, “ představoval si hackery.

Lucas Nuzzi, senior analytik společnosti Digital Asset Research, však má nápad. „Horníci na bázi prohlížeče, jako je Coinhive, jsou nejlepší implementací užitečného PoW [důkaz o práci], “ dodal tweet. „Webové stránky mají poprvé v historii internetu způsob, jak zpeněžit obsah, aniž by museli bombardovat uživatele reklamami.“

Potenciál není omezen na modely založené na reklamách:

2 \ Tito horníci mohou být implementováni s méně než 20 řádky kódu. Wikipedia by nemusela žádat o dary, pokud by implementovala horník založený na prohlížeči.
- Lucas Nuzzi (@ LucasNuzzi) 15. února 2018

Těžba prohlížeče má potenciál narušit současné modely zpeněžování poskytovatelů webového obsahu. Internetové reklamy, které jsou nepříjemné, často obsahují škodlivý kód a podporují odvětví zprostředkování dat, které ohrožuje soukromí a bezpečnost uživatelů, by mohly být zařazeny do podpůrné role. Dary - které, podle soudního rozhodnutí Wikipedie, neřežou - by také mohly zmizet. (Viz také, Blockchain by vás mohl učinit - ne Equifax - vlastník vašich dat. )

Bohužel, Nuzzi pokračuje, hackeři porazili renomovaná místa na úder, který spojuje těžbu prohlížeče s malwarem ve veřejné fantazii a „rozdrtí naději na přijetí renomovanými weby, jako je Wikipedia“.

Salon se vrhne

Možná, ale přinejmenším jeden seriózní, pokud bojuje, web vzal skok. Salon uzavřela partnerství s Coinhivem a 11. února - v den debaklu Browsealoud - se návštěvníci začali ptát pomocí blokátorů reklam, zda by chtěli „blokovat reklamy tím, že umožní Salonu využít nevyužitý výpočetní výkon“. Na stránce FAQ je vysvětleno, že to znamená těžbu monera, ačkoli se nezmíní o svém nyní neslavném partnerovi jménem. (Viz také, Salon chce používat počítač pro těžbu kyrptoměny. )

Abychom zhodnotili uživatelský dojem, zapnul jsem několik blokátorů reklamy, navštívil Salon a souhlasil s „potlačením reklam“. Nefungovalo to. Domovská stránka se stala poloprůhlednou a neuklizitelnou, jak se někdy stává, když je povinné blokování reklam zakryté blokátorem reklamy (s blokováním adblockeru, které je nezbytným předpokladem pro vstup do kryptominálu). Po nějakém hádání - druhu, který by mě za normálních okolností vedl k procházení jinam - jsem těžil monero výměnou za zkrácení liberálního komentáře.

Neviděl jsem žádné reklamy, ale samozřejmě jsem běžel blokování reklam. Stránka neustále načítá určité prvky a způsobuje, že se text každých několik sekund přeskakuje. Bylo těžké přečíst. Trochu podezíravě se počítadla mých reklamních blokátorů vytočila až na 11 a 29, což znamená, že požadavky byly blokovány při každém opětovném načtení.

Nepochybně jsem těžil. Před návštěvou stránky monitor aktivity mého Macbooku nevykazoval žádnou aplikaci využívající více než 10% CPU. Během mé návštěvy se Chrome Helper pohyboval v rozmezí 50% až do - v jednom bodě - 320%. Energetický dopad prohlížeče Chrome se také zvýšil na trojciferné číslice; 12hodinový průměr je 46.

Na e-mail společnosti Salon's PR s dotazem na zkušenosti zásuvky s dolováním prohlížeče neobdržela okamžitou odpověď. Tento článek bude aktualizován, aby odrážel odpovědi Salon.

Může dolování v prohlížeči fungovat?

Moje krátké setkání s dolováním prohlížeče odhalilo, jaké škytavky jsou typické pro beta verze. Spotřeba energie je však překážkou, kterou drobná vylepšení nevyřeší. Horníci bitcoinů se hrnou do Quebeku, protože elektřina je levná. Únosci těží pomocí prohlížečů návštěvníků ze stejného důvodu. I když je obtížné odhadnout peněžní dopad těžby jménem Salona, ​​nárůst spotřeby elektřiny byl zřejmý. Pokud by významný blok webu přijal dolování prohlížeče, používání internetu by mohlo být drahé.

Totéž platí pro použití hardwaru. WannaMine představil takový problém, protože, jak to uvedla Panda, „způsob, jakým se snaží maximálně využít procesor a RAM, staví počítač pod velké napětí.“ Pokud weby neomezí požadavky, které na počítače návštěvníků kladou, procesy se zpomalí na procházení a hardware se opotřebuje výrazně rychleji.

Nuzzi tyto problémy neslevňuje. "Pokud se těžba na základě prohlížeče stane věcí, bude rozhodně zneužití, pokud jde o počet těžařských vláken, které web spotřebuje, " řekl e-mailem. Na druhou stranu „jako u reklam bude existovat způsob, jak tuto scryptovat, takže webové stránky musí zjistit, jak by měla být spravedlivá rovnováha, jinak uživatelé přestanou navštěvovat web nebo blokovat horníka.“

Pokud jde o spotřebu elektřiny, hashovací funkce Monero CryptoNight má lehčí dotek než řekněme bitcoinové SHA-256. Důlní těžba „není velkým problémem pro uživatele notebooků, “ říká Nuzzi, ale „určitě omezuje některé případy použití chytrých telefonů“ omezenou kapacitou baterie.

Potom existuje riziko, že závod s hashovou sazbou, který způsobil, že CPU a dokonce i těžba bitcoinu a litecoinu na GPU jsou nerentabilní, zastaví tlak v prohlížeči. Důvod, proč Coinhive a WannaMine používají monero, je ten, že je to jedna z jediných kryptoměn, které lze s výhodou těžit pomocí CPU. Vzhledem k tomu, že jsou ekonomické ekonomické pobídky, nemohlo se monero také stát obětí ASIC, specializovaného hardwaru určeného pouze k co nejrychlejšímu vykonávání hašovacích funkcí?

Nuzzi si to nemyslí. CryptoNight nazývá „skvěle navržený“ a dodává, že „umožňuje společnosti Monero těžit pomocí různých zařízení, včetně chytrých telefonů, protože většina z nich má alespoň 2 GB paměti RAM, zatímco k zahájení instance CryptoNight je zapotřebí pouze 2 MB. na Scrypt (Litecoinův konsenzuální algoritmus) je CryptoNight mnohem odolnější vůči integraci obvodů, což umožňuje stavět ASIC. “

Vývojáři společnosti Monero také slíbili, že změní algoritmus, pokud bude vyvinut ASIC. „Výrobci jako Bitmain by nikdy nepřidělili rozpočet na výzkum a vývoj na vývoj Monero ASIC vzhledem k tomuto riziku, “ říká Nuzzi. (Viz také Bitcoin vs. Litecoin: Jaký je rozdíl? )

Již dávno

Pokud by kryptomining vytlačil reklamy jako primární způsob zpeněžení online obsahu, bylo by to splnění jednoho z nejranějších slibů kryptoměny.

Argument, že bitcoinové mikroplatby na weby by mohly narušit současný model, se stal obětí rostoucích transakčních poplatků, ale další pokusy byly provedeny pomocí jiných tokenů, jako je například blokování reklam Brave prohlížeče Basic Attention Token. Ale za předpokladu, že financování peněženky a kompenzace webů, jejichž reklamy, které blokujete, zůstává nepovinné - jako je tomu v Brave -, se zdá, že model nebude poskytovat webům příjmy, které potřebují. (Statečné, mělo by se říci, že předpokládá místo pro inzerenty na jeho platformě.)

Neexistuje žádná záruka, že dolování prohlížeče bude dobývat, nebo že dopad na účty uživatelů a účty za elektřinu nebude obchodníkem. Existuje však šance, že otravné, rušivé, občas škodlivé reklamy - nebo programy, které používáte k jejich blokování - jsou na cestě ven.

Investování do kryptoměn a dalších počátečních nabídek mincí („ICO“) je vysoce riskantní a spekulativní a tento článek není doporučením Investopedia nebo spisovatelem investovat do kryptoměn nebo jiných ICO. Jelikož je situace každého jednotlivce jedinečná, měl by být před jakýmkoli finančním rozhodnutím vždy konzultován kvalifikovaný odborník. Investopedia neposkytuje žádná prohlášení ani záruky, pokud jde o přesnost nebo aktuálnost zde obsažených informací. Ke dni, kdy byl tento článek napsán, nemá autor žádné pozice v kryptoměnách.