اندازه‌گیری و تحلیل استخراج ارزهای دیجیتال در ابرهای عمومی

1. مقدمه

ارزهای دیجیتال، به عنوان کاربرد برتر فناوری بلاکچین، شاهد رشد تصاعدی و پذیرش گسترده در جریان اصلی بوده‌اند. یک جزء اساسی این اکوسیستم، mining pool—گروهی از ماینرها که منابع محاسباتی خود را ترکیب میکنند تا احتمال کسب پاداش‌های بلاک افزایش یابد، که سپس به‌نسبت توزیع می‌شوند. در حالی که ارزهای دیجیتال مزایای متعددی ارائه می‌دهند، ماهیت نیمه‌ناشناس و غیرمتمرکز آنها همچنین فعالیت‌های مخربی مانند پرداخت‌های باج‌افزار و عملیات فرماندهی و کنترل (C2) پنهان را تسهیل می‌کند. این مقاله به بررسی تقاطع حیاتی بین استخرهای استخراج ارز دیجیتال و زیرساخت ابر عمومی می‌پردازد و هدف آن ترسیم ارتباطات آنها، اندازه‌گیری آسیب‌پذیری‌های امنیتی و مدل‌سازی پویایی‌های زیربنایی آنهاست.

فرضیه مرکزی این است که مهاجمان به‌طور فزاینده‌ای از منابع ابر عمومی برای استخراج ارز دیجیتال بهره می‌برند، به دلیل مقیاس‌پذیری، انعطاف‌پذیری و پتانسیل سوءاستفاده (مثلاً از طریق نمونه‌های به‌خطرافتاده). این تغییر نشان‌دهنده همگرایی روندهای محاسباتی مدرن و انگیزه‌های مهاجمان است، که از سرورهای خصوصی قابل ردیابی به سمت جبهه‌های حمله‌ی زودگذر و مبتنی بر ابر حرکت می‌کند.

2. Methodology & Data Collection

این مطالعه از رویکردی غیرفعال و مشاهده‌ای مبتنی بر داده‌های هوش شبکه‌ای استفاده می‌کند.

3. Key Findings & Statistical Analysis

4. Technical Framework & Mathematical Modeling

ترجیح پیوند مشاهده‌شده را می‌توان به صورت ریاضی مدل کرد. فرض کنید $G(t)$ گراف شبکه در زمان $t$ باشد، که در آن گره‌ها ارائه‌دهندگان ابری و استخرهای استخراج را نشان می‌دهند و یال‌ها نشان‌دهنده پیوندهای مشاهده‌شده هستند. احتمال $\Pi(k_i)$ که یک اتصال جدید به گره $i$ ایجاد شود، متناسب با درجه کنونی آن $k_i$ است:

$$

علاوه بر این، ریسک امنیتی $R_c$ برای یک ارائه‌دهنده‌ی ابری $c$ را می‌توان به عنوان تابعی از حجم ارتباطات $V_c$ و نسبت مخرب $M_c$ آن ارتباطات مفهوم‌سازی کرد:

$$

5. Experimental Results & Charts

نمودار 1: سهم انجمن ارائه‌دهنده ابری. یک نمودار دایرهای یا میلهای بهطور بصری بر تحلیل مسلط خواهد بود و نشان میدهد که AWS و GCP در مجموع حدود ۴۸٪ از سهم انجمن را در اختیار دارند و پس از آن دنباله بلندی از سایر ارائهدهندگان (Microsoft Azure, Alibaba Cloud, DigitalOcean و غیره) باقیمانده ۵۲٪ را تشکیل میدهند.

نمودار ۲: نمودار لگاریتمی-لگاریتمی توزیع درجه. یک نتیجه تجربی کلیدی، نمودار لگاریتمی-لگاریتمی توزیع درجه گرهها است. نمودار یک خط مستقیم با شیب منفی نشان میدهد که توزیع توانی و دنبالهسنگین $P(k) \sim k^{-\gamma}$ را تأیید میکند. این نمودار شواهد مستقیمی از مکانیسم ترجیح پیوند در حال عمل است.

نمودار ۳: نسبت نقاط پایانی مخرب به ازای هر ارائهدهنده برتر. یک نمودار میله‌ای گروه‌بندی‌شده که AWS و GCP را مقایسه می‌کند، نشان می‌دهد که تقریباً ۳۵٪ از نقاط پایانی مرتبط با AWS و ۳۰٪ از نقاط پایانی مرتبط با GCP به عنوان مخرب علامت‌گذاری شده‌اند که معیاری قابل‌اندازه‌گیری از ریسک امنیتی ارائه می‌دهد.

6. چارچوب تحلیل: یک مطالعه موردی

مورد: ردیابی یک عملیات مشکوک Cryptojacking

مرحله 1 - شناسایی بذر: با یک فایل باینری ماینر مخرب شناختهشده یا یک دامنه از فید اطلاعات تهدید (مانند `malicious-miner-pool[.]xyz`) شروع کنید.

مرحله 2 - گسترش pDNS: داده‌های pDNS را برای تمام آدرس‌های IP (رکوردهای `A`) مرتبط با دامنه اولیه در طول 6 ماه گذشته جستجو کنید.

مرحله 3 - انتساب ابری: برای هر آدرس IP حل‌شده، یک جستجوی WHOIS و نگاشت ASN انجام دهید. محدوده‌های IP متعلق به ارائه‌دهندگان اصلی خدمات ابری (مانند AWS `us-east-1`) را فیلتر کنید.

مرحله ۴ - ساخت گراف: داده‌ها را به‌عنوان یک گراف دو بخشی مدل کنید: یک مجموعه گره‌ها، دامنه‌های استخر استخراج و مجموعه دیگر، بلوک‌های IP ارائه‌دهندگان خدمات ابری هستند. اگر یک دامنه به یک IP در آن بلوک حل شده باشد، یک یال وجود دارد.

Step 5 - Anomaly Detection & Risk Scoring:

• افزایش ناگهانی حجم: تشخیص اینکه آیا یک بلوک IP خاص CSP ناگهان صدها دامنه جدید و موقت ماینر را حل می‌کند - نشانه‌ای از استقرار خودکار در مقیاس بزرگ.
• همبستگی مخرب: تمام دامنه‌های کشف‌شده را با API ویروس‌توتال ارجاع متقابل کنید. یک امتیاز ریسک محاسبه کنید: $\text{Score} = \frac{\text{\# Malicious Domains}}{\text{Total Domains}} \times \log(\text{Total Unique IPs})$.
• تحلیل زمانی: مشاهده کنید که آیا فعالیت ماینینگ پس از اخطار حذف، از یک CSP به CSP دیگر مهاجرت می‌کند یا خیر، که نشان‌دهنده تاب‌آوری مهاجم است.

نتیجه: این چارچوب نه تنها نمونه‌های مخرب منفرد، بلکه الگوهای سوءاستفاده در زیرساخت ابری را شناسایی می‌کند و امکان ارسال هشدارهای هدفمند به تیم‌های امنیتی ارائه‌دهندگان خدمات ابری درباره بلوک‌های IP خاص پرخطر را فراهم می‌آورد.

7. Future Applications & Research Directions

1. شکار تهدید پیشگیرانه برای ارائه‌دهندگان خدمات ابری (CSPs): ارائه‌دهندگان ابری می‌توانند تحلیل مشابه pDNS را در مراکز عملیات امنیتی داخلی خود ادغام کنند تا به‌طور پیشگیرانه منابع مورد استفاده برای استخراج غیرقانونی را شناسایی و معلق کنند، که سوءاستفاده را کاهش داده و زیرساخت را برای مشتریان قانونی حفظ می‌نماید.

2. یکپارچه‌سازی تحلیل‌گر بلاک‌چین: کارهای آینده باید داده‌های تراکنش زنجیره‌ای را با اطلاعات هوشمند IP خارج از ابر ادغام کنند. با مرتبط کردن آدرس‌های پاداش استخراج با نقاط پایانی استخرهای میزبانی‌شده در ابر، محققان می‌توانند جریان مالی درآمدهای کریپتوجکینگ را ردیابی کنند، فنی مشابه آنچه توسط Chainalysis و Elliptic استفاده می‌شود.

3. تشخیص رفتاری مبتنی بر هوش مصنوعی: مدل‌های یادگیری ماشین را می‌توان بر روی الگوهای مصرف شبکه و منابع (بار CPU/GPU، ترافیک شبکه به استخرهای شناخته‌شده) نمونه‌های ابری آموزش داد تا بدافزارهای استخراج را به‌طور بلادرنگ شناسایی کنند، مشابه نحوه عملکرد ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) اما در سطح هایپروایزر.

4. Policy & Regulatory Implications: این پژوهش شکاف داده‌ای را برجسته می‌سازد. مقامات نظارتی ممکن است در نظر بگیرند که ارائه‌دهندگان خدمات ابری را ملزم به گزارش معیارهای تجمیعی ترافیک استخراج ارزهای دیجیتال کنند، مشابه گزارش‌های تراکنش‌های مالی، تا شفافیت اکوسیستم را بهبود بخشیده و با مالیات غیرقانونی مقابله کنند، همان‌گونه که در چارچوب‌های گروه اقدام مالی (FATF) پیشنهاد شده است.

5. مطالعه دارایی‌های نسل بعد: همان‌طور که اشاره شد، تغییر به سمت ارزهای متاورس در حال وقوع است. پژوهش‌های آینده باید تحلیل خود را به استخرهای استخراج ارزهای حریم‌خصوصی (مانند Monero، Zcash) و دارایی‌های جدید مبتنی بر اثبات کار (Proof-of-Work) مرتبط با جهان‌های مجازی و شبکه‌های زیرساخت فیزیکی غیرمتمرکز (DePIN) گسترش دهند.

8. References

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. علم, 286(5439), 509-512.
3. Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
4. Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In Financial Cryptography and Data Security.
5. Financial Action Task Force (FATF). (2021). Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers.
6. Zhu, J. Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. Proceedings of the IEEE International Conference on Computer Vision (ICCV). (CycleGAN reference for methodological analogy in mapping between domains).
7. Cloud Security Alliance (CSA). (2022). Top Threats to Cloud Computing: The Egregious 11.
8. VirusTotal. (n.d.). Google's VirusTotal API Documentation. Retrieved from https://developers.virustotal.com/

9. Original Analysis & Expert Commentary