Webové stránky používajú váš prehliadač na ťažbu kryptom. Môže to byť dobrá vec

Názov hovorí za všetko: WannaMine. Panda, španielska spoločnosť zaoberajúca sa kybernetickou bezpečnosťou v Bilbau, na začiatku februára napísala, že „nový počítačový variant prevzal počítače po celom svete a uniesol ich za ťažbu kryptomeny s názvom Monero“.

Vírus pripomína WannaCry, červ, ktorý v máji 2017 prehnal zemeguľu, ktorý šifruje údaje infikovaných systémov a požaduje platby bitcoinovým výkupným, aby ich mohol dešifrovať. WannaMine však používa iný prístup k tomu, ako vyhodiť kryptomenu z obetí: využíva spracovateľskú silu svojich strojov na to, aby znova a znova spúšťala algoritmus s názvom CryptoNight a dúfala, že nájde hash spĺňajúci určité kritériá skôr, ako to urobia iní baníci. Keď sa to stane, vyťaží sa nový blok, ktorý vytvorí kúsok nového monera - v čase písania asi 1 500 dolárov - a uloží neočakávané prostriedky do peňaženky útočníka.

Pravdepodobnosť, že ktorýkoľvek daný baník nájde prvý blok ako prvý a dostane odmenu, je síce malá, ale infikuje dosť CPU a vy môžete hackovať spolu slušný tok výnosov. Keďže obeť platí účty za elektrinu a poskytuje hardvér, náklady pre útočníka sú zanedbateľné. (Pozri tiež: Ako funguje ťažba bitcoínov? )

„Koncept kontroly“

11. februára sa objavil podobný, ale skôr veľkolepý útok. Výskumníci v oblasti kybernetickej bezpečnosti Scott Helme a Ian Thornton-Trump (phat_hobbit) si všimli, že stránky z britského Národného zdravotníctva pre americké súdy uniesli prehliadače návštevníkov na moje monero.

Hmm, tak jo, toto je * zlé *. Práve som mal @phat_hobbit zdôrazniť, že @ICOnews má na svojom webe nainštalovaný kryptominer ... pic.twitter.com/xQhspR7A2f
- Scott Helme (@ Scott_Helme) 11. februára 2018

Vinníkom bol doplnok prevodu textu na reč obľúbený u anglofónnych vlád s názvom Browsealoud, ktorý bol infikovaný Coinhive, monero minerom v prehliadači, ktorý nemusí byť nevyhnutne malvér sám o sebe: jeho poskytovatelia ho prezentujú ako legitímny spôsob speňaženia prenosu, ale opýtajte sa ich používateľov príliš málo otázok, podľa základnej dosky.

Zatiaľ 2018. Ale niečo je preč. Útočníci neurobili nič: okolo 24 dolárov, ktoré neboli vyplatené, povedal Coinhive na základnej doske. A ako Helme zdôraznil, útok mohol byť oveľa horší: „Útočníci mali svojvoľný vklad skriptov na tisíce stránok vrátane mnohých webových stránok NHS tu v Anglicku.“ Mohli ukradnúť lodné zásoby mimoriadne cenných osobných údajov. Ale neurobili to.

A čo viac, vzhľadom na zvolenú metódu útoku, mali by útočníci zvoliť ciele s vyššou návštevnosťou, menej kontrolované a s nižšou úrovňou bezpečnosti: pornografické stránky sú u kryptominátorov populárne, pretože spĺňajú tieto kritériá.

Zdá sa, že cieľom únoscov nebolo zarobiť si peniaze. Možno, ako to uviedol Matt Burgess z Wired UK - parafrázujúci analytika Malwarebytes Chris Boyd - namiesto toho „vytvárali dôkaz konceptu“.

Crypto narušuje model reklamy?

Aký koncept by to mohol byť, Boyd nešpecifikoval. „Pozrime sa, aké šialené veci sa dajú pomocou týchto skriptov urobiť, “ predstavoval si hackerov.

Lucas Nuzzi, hlavný analytik spoločnosti Digital Asset Research, však má nápad. „Baníci na báze prehliadača, ako je Coinhive, sú najlepšou implementáciou užitočného dôkazu o práci PoW, “ tweetoval. „Webové stránky majú prvýkrát v histórii internetu spôsob speňažovania obsahu bez toho, aby museli bombardovať používateľov reklamami.“

Potenciál sa neobmedzuje iba na modely založené na reklamách:

2 \ Títo baníci môžu byť implementovaní s menej ako 20 riadkami kódu. Wikipedia by sa nemusela pýtať na dary, ak by implementovali prehliadač založený na prehliadači.
- Lucas Nuzzi (@ LucasNuzzi) 15. februára 2018

Ťažba prehliadača má potenciál narušiť súčasné modely speňažovania pre poskytovateľov webového obsahu. Internetové reklamy, ktoré sú nepríjemné, často obsahujú škodlivý kód a podporujú odvetvie sprostredkovania údajov, ktoré ohrozuje súkromie a bezpečnosť používateľov, by sa mohli zaradiť medzi podporné úlohy. Dary - ktoré, podľa súdneho rozhodnutia Wikipedia, to nevystrihávajú - by tiež mohli stratiť na dôležitosti. (Pozri tiež, Blockchain by vás mohol urobiť - nie Equifax - vlastník vašich údajov. )

Bohužiaľ, Nuzzi pokračuje, hackeri porazia seriózne weby na úder, ktorý spája ťažbu prehliadača s malvérom vo verejnej fantázii a „rozdrví nádej na prijatie renomovanými webmi, ako je Wikipedia“.

Salon sa vrhne

Možno, ale aspoň jeden seriózny, ak sa snaží, stránky sa ponoril. Salon uzavrela partnerstvo s Coinhive a 11. februára - v deň debakla Browsealoud - sa začala pýtať návštevníkov, ktorí používajú blokátory reklám, či by chceli „blokovať reklamy tým, že umožnia Salonu využiť nevyužitý výpočtový výkon“. Stránka FAQ vysvetľuje, že to znamená ťažbu monera, hoci nespomína svoj dnes neslávny partner. (Pozri tiež, Salon chce používať počítač na ťažbu kyrptomeny. )

Aby som zhodnotil užívateľskú skúsenosť, zapol som niekoľko blokátorov reklamy, navštívil som Salon a súhlasil s tým, že potlačím reklamy. Nefungovalo to. Domovská stránka sa stala polopriehľadnou a nevyčísliteľnou, ako sa niekedy stáva, keď povinné blokovanie reklám zakryje blokovač ad (s blokovaním adblocker nevyhnutným predpokladom pre vstup do kryptometra). Po nejakom hádaní - druhu, ktorý by ma za normálnych okolností prinútil prechádzať inde - som ťažil monero výmenou za zníženie liberálneho komentára.

Nevidel som žiadne reklamy, ale samozrejme som spúšťal blokovanie reklám. Stránka neustále načíta určité prvky a spôsobí, že sa text každých niekoľko sekúnd preskočí. Čítanie bolo ťažké. Trochu podozrivo sa počítadlá mojich blokátorov začiarkli až na 11 a 29, pričom pri každom opätovnom načítaní boli žiadosti zablokované.

Nepochybne som ťažil. Pred návštevou stránky monitor aktivity môjho počítača Macbook nevykazoval žiadnu aplikáciu využívajúcu viac ako 10% CPU. Počas mojej návštevy sa pomocník prehliadača Chrome pohyboval od približne 50% až do - v jednom okamihu - 320%. Energetický dopad prehliadača Chrome sa tiež zvýšil na trojciferné číslice; 12-hodinový priemer je 46.

E-mail pre spoločnosť Salon's PR, v ktorom sa pýtali na skúsenosti s výstupom prehliadača v oblasti prehľadávania, nedostal okamžitú odpoveď. Tento článok bude aktualizovaný, aby odrážal odpovede Salon.

Môže prehliadač Ťažba fungovať?

Moje krátke stretnutie s ťažbou prehliadača odhalilo škytavky, ktoré sú typické pre beta verzie. Spotreba energie je však prekážkou, ktorú menšie vylepšenia nevyriešia. Baníci bitcoínov sa hrnú do Quebecu, pretože elektrina je lacná. Únoscovia ťažia pomocou prehliadačov návštevníkov z rovnakého dôvodu. Aj keď je ťažké odhadnúť peňažný vplyv ťažby na účet Salona, ​​zvýšenie spotreby elektrickej energie bolo zrejmé. Ak by značná časť webu prijala ťažbu prehliadača, používanie internetu by mohlo byť drahé.

To isté platí pre hardvérové ​​použitie. WannaMine predstavil taký problém, pretože, ako to uviedla Panda, „spôsob, akým sa snaží čo najviac využívať procesor a RAM, vystavuje počítač veľkému zaťaženiu.“ “ Pokiaľ weby neobmedzia nároky, ktoré kladú na počítače návštevníkov, procesy sa spomalia na indexové prehľadávanie a hardvér sa vyčerpá oveľa rýchlejšie.

Nuzzi tieto problémy nezľava. „Ak sa ťažba na základe prehľadávača stane vecou, ​​určite dôjde k zneužitiu, pokiaľ ide o počet ťažobných vlákien, ktoré webová stránka spotrebuje, “ uviedol e-mailom. Na druhej strane „rovnako ako reklamy budú existovať spôsoby blokovania tohto šifrovania, takže webové stránky musia zistiť, aká by mala byť primeraná rovnováha, inak používatelia prestanú navštíviť web alebo zablokovať banku.“

Pokiaľ ide o spotrebu elektrickej energie, hashovacia funkcia Monero CryptoNight má ľahší dotyk ako povedzme bitcoínová SHA-256. Ťažba v Monero „nie je pre používateľov prenosných počítačov veľkým problémom“, hovorí Nuzzi, „s najväčšou pravdepodobnosťou však obmedzuje niektoré prípady použitia smart telefónov“ obmedzenou kapacitou batérie.

Potom existuje riziko, že závod hashových sadzieb, ktorý spôsobil stratu ziskovosti CPU a dokonca aj GPU ťažby bitcoínu a litecoínu, zastaví tlak v prehliadači. Dôvod, prečo Coinhive a WannaMine používajú monero, je ten, že je to jedna z mála kryptomen, ktorú je možné ťažiť pomocou CPU. Nemalo by sa monero stať obeťou ASIC, vzhľadom na správne ekonomické stimuly, špecializovaný hardvér určený výlučne na čo najrýchlejšie vykonávanie funkcií hashovania?

Nuzzi si to nemyslí. Nazýva CryptoNight „geniálne navrhnutý“ a dodáva, že „umožňuje spoločnosti Monero ťažiť pomocou rôznych zariadení, vrátane smartfónov, pretože väčšina z nich má najmenej 2 GB pamäte RAM, zatiaľ čo na spustenie inštancie CryptoNight je potrebná iba 2 MB. do Scrypt (konsenzuálny algoritmus Litecoinu) je CryptoNight oveľa odolnejší voči integrácii obvodov, čo umožňuje vytváranie ASIC. ““

Vývojári spoločnosti Monero tiež prisľúbili zmenu algoritmu, ak sa vyvinie ASIC. „Výrobcovia ako Bitmain by nikdy nepridelili rozpočet na výskum a vývoj na vývoj Monero ASIC vzhľadom na toto riziko, “ hovorí Nuzzi. (Pozri tiež Bitcoin vs. Litecoin: Aký je rozdiel? )

Po splatnosti

Keby kryptominácia vytlačila reklamy ako primárny spôsob speňaženia obsahu online, bolo by to splnenie jedného z prvých sľubov kryptomeny.

Argument, že bitcoinové mikroplatby na stránkach môžu narušiť súčasný model, sa stal obeťou zvyšujúcich sa transakčných poplatkov, ale urobili sa ďalšie pokusy s použitím iných tokenov, ako je napríklad základný token pozornosti prehliadača Brave v prehliadači. Pokiaľ však bude financovať peňaženku a kompenzovať stránky, ktorých reklamy, ktoré blokujete, zostáva voliteľné - tak ako je to v statočnom stave -, zdá sa, že tento model pravdepodobne nebude poskytovať webom potrebné príjmy. (Odvážne by sa malo povedať, že si na svojej platforme predstavuje miesto pre inzerentov.)

Neexistuje žiadna záruka, že dôjde k dobudovaniu prehľadávača alebo že vplyv na účty používateľov za vybavenie a účty za elektrinu nebude prerušením dohody. Existuje však šanca, že nepríjemné, rušivé, občas škodlivé reklamy - alebo programy, pomocou ktorých ich blokujete - sú na ceste von.

Investovanie do kryptomen a iných počiatočných ponúk mincí (ďalej len „ICO“) je veľmi riskantné a špekulatívne a tento článok nie je odporúčaním Investopedia alebo redaktora, aby investoval do kryptomeny alebo iných ICO. Keďže situácia každého jednotlivca je jedinečná, pred prijatím akýchkoľvek finančných rozhodnutí by sa mal vždy konzultovať kvalifikovaný odborník. Investopedia neposkytuje žiadne vyhlásenia ani záruky, pokiaľ ide o presnosť alebo aktuálnosť tu obsiahnutých informácií. Odo dňa, keď bol tento článok napísaný, nemá autor žiadnu pozíciu v kryptomene.