Как обезопасить майнинг ферму от кражи

Обновлено: 19.04.2024

Представим, что вы создали успешную криптовалюту: сотни тысяч майнеров трудятся, усердно добывают монеты, сложность добычи растет, да и курс тоже. Иначе говоря, счастье практически наступило. Вы — талантливый программист и теперь заслуженно пожинаете плоды своих усилий. А можно ли добавить какой-то кусочек кода и бесплатно намайнить себе немного монет на безбедную старость? И если да, то как?

Статья написана Славой Карпенко, CTO пула 2Miners.

Поскольку вы создали криптовалюту, вы контролируете исходный код монеты. Это даёт огромные возможности, которые не идут ни в какое сравнение с майнерами и другими участниками экосистемы. Не самому честному разработчику в какой-то момент будет мало мирового признания и он захочет слегка подзаработать, причём сделать это без вложений и покупки оборудования для майнинга. Возможно, получится вставить определённый “тайный лаз” в код, чтобы иногда блоки добывались лично для него и без всякого майнинга? Разбираемся.

Как работает майнинг

Блокчейн представляет из себя связанную цепочку записей, которые содержат ноль или более транзакций (или другой информации). Каждая следующая запись ссылается на предыдущую. В криптовалютах каждая такая запись в цепочке называется блоком. В этой статье мы говорим о криптовалютах, в которых генерация блоков идёт при помощи майнинга — то есть алгоритма Proof of Work (PoW). К ним относятся Bitcoin, Ethereum и многие другие.

Майнеры. Источник: 2Биткоина

Генерация новых блоков — криптографическая (то есть по сути математическая) операция, которая находит комбинацию параметров математической функции, составляющей вместе предыдущий блок и новый. Сложность функции в том, что для нахождения нужного решения требуются большие вычислительные мощности. Если эти формулировки вызывают трудности, почитайте упрощённое объяснение в этом материале.

После нахождения решения блока последний вместе с набором “выигравших” параметров уравнения выкладывается в сеть, где все криптовалютные ноды проверяют решение на правильность. Если оно не удовлетворяет критериям, блок не принимается, а решившая его нода штрафуется или исключается на время из сети в качестве наказания. Если всё хорошо, то нашедшему блок начисляется награда в форме “новых” сгенерированных монет и комиссии за все включённые в блок транзакции.

Каждая криптовалюта имеет свои правила относительно количества генерируемых монет, однако в данном случае это несущественно. Важно понимать, что алгоритм генерации новых монет заложен в код криптовалюты. Он регулируется и проверяется участвующими в сети нодами.

Майнер. Источник: 2Биткоина

Об обмане несчастных владельцев криптовалют есть много материалов. Периодически пользователи озвучивают претензии программистам, которые создают конкретную криптовалюту. Мол, они могут делать всё что захотят, ведь у них есть полный контроль над исходным кодом монеты.

Но какими путями нечистый на руку программист с доступом к изменению исходного кода криптовалюты может получить “несанкционированные” монеты в личное пользование? Отвечаем и заодно рассматриваем минусы таких подходов.

“Привилегированный адрес” в криптовалютах

Можно вставить в код валюты опцию, которая заставит сеть не проверять решение блока на сложность, если новый блок будет сгенерирован с определённого адреса. Вариант ненадёжный, поскольку это легко заметить. Да и вряд ли будет популярна монета, где разработчики настолько явно пренебрегают базовыми правилами блокчейна.

Более того, все плюс-минус популярные криптовалюты тщательно осматриваются другими программистами: кто-то проверяет код, исходя из альтруистических соображений, а кто и выискивает слабые места ради заработка. Настолько очевидная “дыра” будет быстро найдена.

“Математически-ботанический способ”

Можно заранее заложить в алгоритм поиска решения математическую бомбу. Речь идёт о закладке, которая позволит находить решения нужной сложности, не тратя значительные вычислительные ресурсы. Другими словами, в математической формуле вычислений оставляется лазейка, из-за чего при определённых (например, граничных) значениях результат выполнения формулы будет предсказуем.

Разработчик криптовалюты. Источник: 2Биткоина

Это будет значительно сложнее заметить, так как процент сторонних программистов, которые разбираются в сложных математических или криптографических формулах, значительно ниже. Возможно, вашу закладку не найдут до тех пор, пока вы её не используете. А может не заметят даже в этом случае.

Чаще всего такие закладки получаются непреднамеренно, а из-за невысокого профессионального уровня создателей криптовалюты. Они могли надёргать различные алгоритмы из разных источников и не разобраться до конца, как это всё будет работать вместе. В этом случае заработать смогут уже не авторы монеты, а те, кто найдёт такую дыру.

“Защищённые транзакции”

Ряд приватных криптовалют работают интересным образом: у них невозможно отследить источник перевода средств в рамках транзакции, но зато реально проверить его достоверность. Как можно догадаться, механизм проверок должен быть устойчив ко взлому, так как обратное создаёт почву для возможных злоупотреблений.

Monero XMR. Источник: 2Биткоина

Из хранящейся в блокчейне информации невозможно понять, не была ли произведена двойная трата, или не создались ли защищённые монеты “из воздуха”.

К слову, не так давно криптовалюта Zcash пострадала от подобной уязвимости. Тогда выяснилось, что из-за ошибки в криптографии злоумышленники создали неизвестное количество монет и постепенно их вывели. Также невозможно сказать, были это авторы оригинального алгоритма или просто кто-то, кто нашёл эту дырку и аккуратно ей воспользовался.

“Отложенный бэкдор”

Обладая полным доступом к исходному коду криптовалюты, разработчик может в очередном обновлении добавить некий код, который способен обойти подтверждение блоков разными нодами или же реализовать один из описанных выше сценариев. Если обновление достаточно объёмное, то есть шанс, что никто не заметит подвоха. А уже когда достаточное количество нод обновится, можно задействовать этот механизм.

Хакер. Источник: 2Биткоина

Красть криптовалюту — слишком трудно

В итоге вариантов забрать монеты для создателей криптовалюты не так и много, причём почти каждый легко обнаруживается и несёт значительные репутационные риски. Чем популярнее монета, тем большее количество сторонних специалистов изучают код и тем меньше шансов провернуть что-то незаметно.

Более того, на самом деле шанс совершить какую-то ошибку в коде или математике, которой воспользуются злоумышленники и ещё больше подорвут доверие к монете, гораздо выше, чем потенциальная возможность преднамеренно обогатиться, заложив недокументированные возможности. Создателям криптовалюты гораздо выгоднее работать над её защищённостью и не допускать подобных казусов. Поэтому мы считаем, что не стоит слишком переживать на этот счёт.

Как может воровать блоки майнинг-пул

Последний блок — бонус-тема от создателей пула 2Miners. Этот легендарный вопрос обсуждается во всех чатах и форумах различных пулов для майнинга. У нас в Телеграм-чате 2Miners даже есть специальный стикер с парнишкой с блоком из стены в руках, который намекает на воровство. К сожалению, многие юные майнеры не разбираются в принципе работы майнинга и тут же считают, что их обманывают все вокруг. Всем новичкам рекомендуем начать знакомство с криптовалютами с нашей библии.

Легендарный вор блоков. Источник: Телеграм-чат 2Miners

Давайте посмотрим, может ли майнинг-пул воровать блоки и каким образом. Майнинг-пул для сети криптовалюты является одним майнером. Иными словами пул — это отдельная криптовалютная нода (или группа нод), которая подключена к специальному программному обеспечению пула для раздачи задания на расчёт решений блоков всем подключённым к нему клиентам (майнерам). Пул выдает каждому подключённому майнеру задание, слегка отличающееся от всех других.

Итого, что мы имеем? Одну ноду, которая хитрым образом делит свою задачу на всех подключённых к ней майнеров. Каждой ноде соответствует свой адрес кошелька. Невозможно взять решение от одной ноды и “всунуть” его в другую ноду, чтобы та получила вознаграждение за блок на свой анонимный адрес втайне от майнеров, которые корпели и решали задачу.

Майнер. Источник: 2Биткоина

Каждое решение блока подойдёт только той ноде, которая сгенерировала задачу. Можно, конечно, просто “зажать” найденный блок, не показывать его в интерфейсе пула и не выплачивать награду майнерам, присвоив её целиком себе. Однако в этом случае всё будет видно, ведь список найденных блоков на пуле будет отличаться от списка в блокчейн-эксплорере.

В первые дни майнинг биткоина был действительно открытым и доступным. Любой мог просто загрузить бесплатное программное обеспечение на свой компьютер и начать зарабатывать.

Однако такой низкий барьер для входа продержался недолго. К концу 2010 года майнинг с использованием CPU утратил конкурентоспособность из-за появления GPU . Эта тенденция и привела к созданию Slush Pool в ноябре того же года, что позволило майнерам с CPU снова получать стабильный доход.

Когда в 2013-2014 годах на рынок вышли ASIC-устройства, они быстро произвели революцию в отрасли. Потребность в специализированном оборудовании для майнинга резко подняла входной барьер, и он остается высоким по сей день. Однако не все было потеряно.

По крайней мере, если вы были способны заполучить несколько ASIC с SHA-256 и доступную электроэнергию, ничто не мешало вам майнить. К сожалению, сейчас даже это право может остаться не у всех.

По мере того, как правительства и регулирующие органы изучают биткоин, их попытки регулировать или даже напрямую контролировать майнинг кажутся неизбежными.

Что можно сделать, чтобы майнинг оставался максимально доступным? Рассказывает Slush Pool.

Сетевая безопасность

Другими словами, интернет-провайдеры на основе доступных им данных могут легко увидеть, что кто-то добывает биткоин. Хуже того, злонамеренный сотрудник интернет-провайдера может украсть хешрейт (и, следовательно, биткоины) без вашего ведома. Даже ваш сосед может провести атаку с перехватом хешрейта, если интернет-провайдер не изолирует клиентов друг от друга должным образом.

Ваш интернет-провайдер не должен знать, что вы добываете биткоины. Использование Stratum V2 помогает этого избежать. Но это только часть решения.

Полная конфиденциальность

Ваш интернет-провайдер все равно может видеть, какие веб-сайты вы посещаете. О человеке можно многое узнать даже по списку URL-адресов.

Для обычного просмотра веб-страниц может пригодиться VPN. VPN маскирует общедоступный IP-адрес, чтобы интернет-провайдер не знал, что вы делаете в интернете, и не отслеживал ваши действия. Биткоин-майнеры также могут использовать VPN-сервисы, но это приводит к задержке сети, которая оказаться довольно дорогостоящей в бизнесе, где каждая миллисекунда на счету.

Биткоин-майнеры могут добиться такого же улучшения конфиденциальности с помощью DNS-прокси без значительного увеличения задержки сети.

Этот dnsscrypt-proxy предоставляет локальную службу, которая может использоваться непосредственно на локальном преобразователе или в качестве сервера пересылки DNS, шифруя и аутентифицируя запросы с использованием протокола DNSCrypt и передавая их вышестоящему серверу. Протокол DNSCrypt использует высокоскоростную криптографию на основе эллиптических кривых с высоким уровнем защиты, которая похожа на DNSCurve, но направлена на обеспечение безопасности связи между клиентом и его преобразователем первого уровня.

Информация, которая обычно открыта также зашифровывается через прокси-сервер DNS, а это означает, что интернет-провайдер не может определить, какие сайты вы посещаете.

Скрыть свое энергопотребление — это другая проблема

Если вы используете только одно или несколько ASIC-устройств, описанные меры помогут вам сделать майнинг конфиденциальным и безопасным. Крупномасштабный же майнинг оставляет термодинамический след, который трудно скрыть.

Лучшее, что можно сделать с помощью программного обеспечения, это убедиться, что никто, включая интернет-провайдера, не может подслушать ваш майнинг или украсть хешрейт.

В 2019 г. преступники похитили $4,3 млрд в криптовалюте. По информации аналитиков CipherTrace, по сравнению с 2018 г. число краж и мошенничества с использованием цифровых денег увеличилось на 150%, а за два года — на 2600%. Это говорит о том, что на крипторынке становится все опаснее, а защититься — сложнее. Рассказываем об основных способах обмана и о том, как можно избежать потери средств.

Один из самых популярных способов украсть криптовалюту — вымогательство. Вредоносная программа шифрует все данные на устройстве жертвы и отдает их только в случае перевода денег преступнику. Поймать такой вирус просто — открыть зараженное письмо на электронной почте или кликнуть на такую же рекламу.

Как защититься?

Самое важное правило — иметь надежную антивирусную программу, которая сможет в режиме реального времени противостоять сложным вирусам. Также необходимо проводить резервное копирование данных. Например, хранить все важные файлы в облаке, на USB-накопителе или внешнем жестком диске. После записи нужно не забывать отсоединить устройство от компьютера, иначе оно также может быть заражено.

С помощью фишинговых сайтов хакеры пытаются получить доступ к вашим конфиденциальным данным. Преступники создают страницу, которая очень похожа на сайт, например, биржи. Но после ввода логина и пароля вы не попадете в свой аккаунт, зато в него смогут попасть злоумышленники. Зачастую интерфейс выглядит очень правдоподобно, по нему не всегда можно с первого раза отличить подделку.

Как защититься?

Ссылки на фишинговые сайты рассылаются в социальных сетях, через SMS и электронную почту. Первый способ защиты — не переходить по подозрительным ссылкам. Это правило звучит банально, но мошенники продолжают успешно обманывать людей. Например, в середине января в WhatsApp распространялась мошенническая схема с использованием бренда Adidas. Она была направлена на получение персональных данных пользователей мессенджера.

Второе правило — внимательно проверять адресную строку. Даже небольшое отличие в написании говорит о том, что сайт — подделка. Также необходимо проверить функционал страницы — зачастую на фишинговых сайтах работает только одно окно — для ввода логина и пароля. Или, например, кликнув по одной из вкладок вы можете оказаться на странице, которая не похожа на оригинальный ресурс.

Проще всего — сохранять в закладках сайты, которые вы посещаете чаще всего. Например, свой криптовалютный кошелек и биржи, на которых вы торгуете. Также проверить подозрительную страницу можно через специальный сервис от Google. Но всегда лучше перестраховаться и просто не связываться с ресурсом, который вызывает сомнения.

В Google Play часто появляются приложения для хранения криптовалюты, которые таковыми не являются. На самом деле программа показывает не новый, ваш, адрес, а кошелек хакера. Ему и переводятся все деньги.

Как защититься?

Доверять свои средства только проверенным сервисам. Прежде чем начинать пользоваться новым приложением, узнать всю информацию о нем: как давно он появился, кто разработчики, какие отзывы. Попытаться создать в приложении новый адрес. Чаще всего фальшивая программа не генерирует их, кошелек остается один, принадлежащий преступнику.

В прошлом году закрылось сразу несколько финансовых пирамид, нанесших ущерб в миллиарды долларов. Такие проекты прикрываются идеей создания собственной криптовалюты, но на самом деле об этом не идет речи. Организаторы создают классическую мошенническую схему, после чего исчезают с деньгами инвесторов.

Как защититься?

Проекты, которые обещают гарантированную прибыль и работают по схеме сетевого маркетинга, зачастую оказываются финансовыми пирамидами. Прежде чем вкладывать средства в какой-либо проект нужно подробно изучить его цель, команду, техническую составляющую. В сфере криптовалют тема инвестиций в новые стартапы особенно сложная, поэтому тут можно вкладываться лишь на свой страх и риск.

Одной из мер безопасности для защиты своего аккаунта является двухфакторная аутентификация. Но хакеры уже придумали как использовать ее в своих целях. Зачастую для входа на биржу или в криптовалютный кошелек необходимо получить код на телефон, этим и пользуются преступники.

Сначала они узнают номер телефона и персональные данные пользователя через открытые источники или сотрудников операторов, затем блокируют сим-карту (для этого достаточно обратиться в службу поддержки и сообщить о потере симки). Затем злоумышленники добиваются перевода номера на свою SIM-карту и получают доступ к аккаунту.

Как защититься?

Единственное, что может полностью обезопасить от SIM-своппинга — это оформление отдельной сим-карты для регистрации аккаунтов на биржах и в кошельках. Такой телефон нужно не использовать в повседневной жизни, нигде его не публиковать и никому не сообщать. Также для сим-карты можно создать дополнительный пароль. В таком случае для блокировки номера потребуется не только ФИО.

Более простой метод и менее затратный — использовать специальные программы для двухфакторной аутентификации, а не телефон. Сейчас такая функция есть на большинстве криптовалютных бирж.

Самый классический способ кражи средств, но от того не менее злободневный — взлом аккаунта.

Как защититься?

Помимо заезженных правил об использовании сложных паролей и двухфакторной аутентификации (но не через телефон), главное — не хранить деньги на бирже. Преступники могут получить доступ к кошелькам торговой площадки вне зависимости от того, каких мер безопасности придерживаетесь именно вы. Поэтому вносить в аккаунт нужно ровно столько, сколько необходимо для заключения сделки. А затем прибыль сразу выводить, желательно в холодный кошелек, который хранится в надежном месте.

Яркий случай, демонстрирующий жизнь нелегального майнинга в России, произошел на днях в Смоленске, где местная прокуратура организовала проверку в местном государственном университете спорта и обнаружила работающую майнинговую ферму. По предварительной оценке, ущерб образовательному учреждению, которое всё это время оплачивало электричество для машинок, составил более 5 млн рублей.

CEO сервиса Bitnalog Дмитрий Мачихин, в свою очередь, отметил, что хотя правовая система в России не основывается на прецедентном праве, формировать такую судебную практику всё равно необходимо, поскольку вынесенные судебные решения де-факто всё равно имеют вес для вынесения последующих судебных решений, хотя законодательно это и не закреплено.

— Особенно важна роль судебной практики при недостаточном законодательном регулировании определенной отрасли. Если точных законов нет, то судьи начинают формировать правовое регулирование по данным вопросам, особенно важными прецедентами в таких случаях являются решения Верховного суда РФ, — говорит Мачихин. — Это полностью применимо к криптовалютной сфере.

Маленький завод

Борьба с серыми майнерами — не просто вопрос денежной компенсации: нелегальный майнинг — это реальная угроза для обычных потребителей. Собеседница издания отмечает, что уже второй год подряд организация в зимний период (когда фермы легче охлаждать благодаря естественным метеоусловиям) наблюдает резкий рост потребления электроэнергии, который приводит к перегрузке сетей, их выходу из строя.

— Самыми проблемными точками в этом направлении являются населенные пункты Хомутово, Грановщина и Баклаши\Введенщина в Шелеховском районе. Основной причиной роста полезного отпуска электроэнергии является активная генерация криптовалюты, — говорит Романова. — Жители перечисленных населенных пунктов оплачивают электроэнергию по самому низкому, так называемому сельскому тарифу — 0,861 кВт·ч, что делает деятельность по добыче криптовалюты наиболее экономически выгодной.

Важно понимать, что профиль нагрузки при потреблении электроэнергии на бытовые нужды существенно отличается от профиля нагрузки потребления майнинга — он круглосуточный и беспрерывный, что накладывает дополнительную нагрузку на сетевую инфраструктуру. По сути, такие фермы работают в режиме 24/7, то есть их коэффициент одновременности работы сети равен единице — это больше, чем у алюминиевого завода. Бытовые сети же рассчитаны на коэффициенты 0,2–0,4 в летний и 0,6–0,7 в зимний период.

— Необходимо отметить, что тарифы для населения и приравненных к нему категорий потребителей устанавливаются региональными регуляторами на уровне существенно более низком, чем цены для прочих потребителей. Распространение бытового майнинга может привести к росту и без того предельно высокого уровня перекрестного субсидирования и сказаться на тарифах для прочих потребителей, что только усугубит ситуацию, — говорит собеседник издания.

Въезд под разрешающий знак

— Если лицо платит налоги согласно закону — а цифровые активы признаны имуществом и с прибыли от продажи криптовалюты выплачивается НДФЛ — и не использует криптовалюту запрещенным образом — например, как платежное средство, — то законодательства при непосредственном майнинге оно не нарушает, — говорит Патрикеев.

Законный способ, поясняет руководитель компании Comino Евгений Власов, — пользоваться услугами дата-центров, которые ставят у себя IT-оборудование, способное майнить, рендерить видео и так далее. При этом сам по себе майнинг запрещать ни в коем случае нельзя, поскольку это негативно скажется на всей экономической цепочке: майнеры вместе с дата-центрами переедут в более дружественные страны, доходы энергогенерирующих компаний упадут, появится еще больше "серых" схем.

— Сейчас есть множество блокчейнов, и в одном необходимо создавать трансакции, в другом — субтокены. В Европе всё просто — получаешь электричество, а за него ты предоставляешь IT-услуги в определенном объеме, платишь налоги и создаешь рабочие места. Это единственно верный путь, — говорит Власов.

Тем более, по словам эксперта, в России электричество — это отрасль, генерирующая избыток, а майнинг приносит доход для энергетических компаний. Самый мудрый подход, по его мнению, — монетизация своих ресурсов и развитие цифрового бизнеса в стране.

Опыта успешного взаимодействия между криптоиндустрией и государством в мире много, говорит управляющий партнер GMT Legal Андрей Тугарин, поэтому варианты по его налаживанию в России есть у кого подсмотреть. В числе таких стран — Казахстан, легализовавший майнинг законом от 25 июня 2020-го. Уже после его принятия появились различные нормативно-правовые акты, регулирующие отдельные аспекты майнинга, что позволило стране занять второе место в мире в рейтинге Кембриджского университета по объему вычислительных мощностей, используемых для майнинга биткоина.

— Россия в том же рейтинге занимает третье место. Таким образом, российскому законодателю стоит изучить опыт других стран и сформировать собственную позицию в отношении различных аспектов, связанных с майнинговой деятельностью, которая будет отвечать интересам майнеров, государства и общества в целом, — говорит Тугарин.

Что с ними делать?

Читайте также: