Mata wang kripto, sebagai aplikasi utama teknologi rantaian blok, telah menyaksikan pertumbuhan eksponen dan penerimaan arus perdana. Komponen asas ekosistem ini ialah kolam perlombongan—sekumpulan pelombong yang menggabungkan sumber pengiraan untuk meningkatkan kebarangkalian memperoleh ganjaran blok, yang kemudiannya diagihkan secara berkadar. Walaupun mata wang kripto menawarkan banyak faedah, sifat pseudonim dan terpencar mereka juga memudahkan aktiviti berniat jahat seperti pembayaran tebusan perisian hasad dan operasi kawalan-dan-kawalan (C2) tersembunyi. Kertas kerja ini menyiasat persimpangan kritikal antara kolam perlombongan mata wang kripto dan infrastruktur awan awam, bertujuan untuk memprofilkan perkaitan mereka, mengukur pendedahan keselamatan, dan memodelkan dinamik asas mereka.
Hipotesis utama ialah penyerang semakin memanfaatkan sumber awan awam untuk perlombongan mata wang kripto kerana kebolehskalaan, fleksibiliti, dan potensi penyalahgunaannya (contohnya, melalui instans yang dikompromi). Peralihan ini mewakili pertemuan trend pengiraan moden dan insentif penyerang, beralih daripada pelayan persendirian yang boleh dikesan ke arah barisan hadapan serangan berasaskan awan yang sementara.
Kajian ini menggunakan pendekatan pemerhatian pasif berdasarkan data perisikan rangkaian.
Metodologi teras melibatkan analisis jejak Sistem Nama Domain Pasif (pDNS). Data pDNS menyediakan rekod sejarah pertanyaan dan resolusi DNS, membolehkan penyelidik memetakan nama domain ke alamat IP dari semasa ke semasa dan mengenal pasti perkaitan antara entiti (contohnya, domain kolam perlombongan dan julat IP pembekal awan).
Data dikumpulkan daripada set data pDNS berskala besar. Domain kolam perlombongan dikenal pasti melalui senarai yang tersedia secara awam dan sumber perisikan rantaian blok. Alamat IP yang diselesaikan daripada domain ini kemudian dipetakan ke Nombor Sistem Autonomi (ASN) masing-masing dan pemilik organisasi untuk mengenal pasti pembekal perkhidmatan awan (CSP). Data reputasi keselamatan dirujuk silang daripada VirusTotal untuk menilai perkaitan berniat jahat.
24
Pembekal awan unik ditemui berkaitan dengan kolam perlombongan.
~48%
Daripada perkaitan dikaitkan dengan Amazon (AWS) dan Google Cloud.
30-35%
Titik akhir berkaitan ditanda sebagai berniat jahat di VirusTotal.
Analisis mendedahkan bahawa 24 pembekal awan awam berbeza mempunyai perkaitan yang boleh diperhatikan dengan kolam perlombongan mata wang kripto melalui laluan resolusi DNS. Pasaran sangat tertumpu, dengan Amazon Web Services (AWS) dan Google Cloud Platform (GCP) menyumbang hampir separuh (48%) daripada semua perkaitan yang diperhatikan. Ini mencadangkan bahawa pelombong dan kemungkinan penyerang memihak kepada pembekal besar dan mantap, mungkin disebabkan infrastruktur global mereka yang luas, kebolehpercayaan, dan kemudahan bercampur dengan trafik sah.
Taburan kehadiran pembekal awan dan bilangan sambungan (perkaitan) kepada kolam perlombongan mengikuti taburan berekor berat, ciri rangkaian bebas skala. Corak ini menunjukkan model lekatan pilihan intrinsik: kolam perlombongan popular lebih cenderung membentuk perkaitan baharu dengan pembekal awan besar, dan sebaliknya, mencipta dinamik "yang kaya bertambah kaya". Ini mencerminkan corak pertumbuhan yang diperhatikan dalam rangkaian teknologi lain, daripada media sosial ke graf petikan.
Penemuan keselamatan penting ialah kadar perkaitan berniat jahat yang tinggi. Dalam kalangan titik akhir (IP/domain) yang berkaitan dengan dua pembekal awan teratas (AWS & GCP), 30-35% dikesan positif sebagai berkaitan dengan aktiviti berniat jahat berdasarkan imbasan VirusTotal. Peratusan tinggi ini menekankan bahawa perlombongan berasaskan awan bukan semata-mata aktiviti komersial sah tetapi sangat berkait rapat dengan cryptojacking, sumber yang dikompromi, dan bentuk jenayah siber lain. Kertas kerja ini juga mencatat peralihan ke arah perlombongan mata wang berkaitan Metaverse, menunjukkan insentif penyerang yang berkembang.
Lekatan pilihan yang diperhatikan boleh dimodelkan secara matematik. Biarkan $G(t)$ menjadi graf rangkaian pada masa $t$, di mana nod mewakili pembekal awan dan kolam perlombongan, dan tepi mewakili perkaitan yang diperhatikan. Kebarangkalian $\Pi(k_i)$ bahawa sambungan baharu dibuat ke nod $i$ adalah berkadar dengan darjah semasanya $k_i$:
$$ \Pi(k_i) = \frac{k_i}{\sum_j k_j} $$ Prinsip model Barabási–Albert ini menerangkan kemunculan taburan darjah berekor berat $P(k) \sim k^{-\gamma}$, di mana $P(k)$ ialah kebarangkalian nod mempunyai darjah $k$, dan $\gamma$ ialah pemalar biasanya antara 2 dan 3. Data empirikal kajian sesuai dengan model ini, mengesahkan sifat bebas skala rangkaian.
Selanjutnya, risiko keselamatan $R_c$ untuk pembekal awan $c$ boleh dikonsepsikan sebagai fungsi daripada isipadu perkaitannya $V_c$ dan nisbah berniat jahat $M_c$ bagi perkaitan tersebut:
$$ R_c = f(V_c, M_c) \approx \alpha \cdot \log(V_c) \cdot M_c^{\beta} $$ di mana $\alpha$ dan $\beta$ ialah parameter yang memberatkan sumbangan saiz berbanding ketumpatan berniat jahat kepada pendedahan risiko keseluruhan.
Carta 1: Bahagian Perkaitan Pembekal Awan. Carta pai atau graf bar akan mendominasi analisis secara visual, menunjukkan AWS dan GCP secara kolektif memegang ~48% bahagian perkaitan, diikuti oleh ekor panjang pembekal lain (Microsoft Azure, Alibaba Cloud, DigitalOcean, dll.) yang membentuk baki 52%.
Carta 2: Plot Log-Log Taburan Darjah. Keputusan eksperimen utama ialah plot log-log taburan darjah nod. Carta akan menunjukkan garis lurus dengan cerun negatif, mengesahkan taburan kuasa, berekor berat $P(k) \sim k^{-\gamma}$. Plot ini adalah bukti langsung mekanisme lekatan pilihan yang berfungsi.
Carta 3: Nisbah Titik Akhir Berniat Jahat per Pembekal Teratas. Carta bar berkumpulan membandingkan AWS dan GCP, menunjukkan kira-kira 35% titik akhir berkaitan AWS dan 30% titik akhir berkaitan GCP ditanda sebagai berniat jahat, memberikan ukuran risiko keselamatan yang boleh diukur.
Kes: Mengesan Operasi Cryptojacking yang Disyaki
Langkah 1 - Pengenalpastian Benih: Mulakan dengan binari pelombong syiling berniat jahat yang diketahui atau domain daripada suapan perisikan ancaman (contohnya, `malicious-miner-pool[.]xyz`).
Langkah 2 - Pengembangan pDNS: Pertanyaan data pDNS untuk semua alamat IP (rekod `A`) yang berkaitan dengan domain benih dalam tempoh 6 bulan lepas.
Langkah 3 - Atribusi Awan: Untuk setiap IP yang diselesaikan, lakukan carian WHOIS dan pemetaan ASN. Tapis untuk julat IP milik CSP utama (contohnya, AWS `us-east-1`).
Langkah 4 - Pembinaan Graf: Model data sebagai graf dwipihak: satu set nod ialah domain kolam perlombongan, satu lagi ialah blok IP CSP. Tepi wujud jika domain diselesaikan ke IP dalam blok tersebut.
Langkah 5 - Pengesanan Anomali & Penilaian Risiko:
Hasil: Kerangka ini boleh mengenal pasti bukan sahaja instans berniat jahat individu, tetapi corak penyalahgunaan merentasi infrastruktur awan, membolehkan amaran disasarkan kepada pasukan keselamatan CSP tentang blok IP berisiko tinggi tertentu.
1. Pemburuan Ancaman Proaktif untuk CSP: Pembekal awan boleh mengintegrasikan analisis pDNS serupa ke dalam pusat operasi keselamatan (SOC) dalaman mereka untuk mengenal pasti dan menggantung sumber yang digunakan untuk perlombongan haram secara proaktif, mengurangkan penyalahgunaan dan memelihara infrastruktur untuk pelanggan sah.
2. Integrasi Analitik Rantaian Blok: Kerja masa depan harus menggabungkan data transaksi dalam rantaian dengan perisikan IP luar awan. Dengan mengaitkan alamat ganjaran perlombongan dengan titik akhir kolam yang dihoskan awan, penyelidik boleh mengesan aliran kewangan hasil cryptojacking, teknik serupa dengan yang digunakan oleh Chainalysis dan Elliptic.
3. Pengesanan Tingkah Laku Berpandukan AI: Model pembelajaran mesin boleh dilatih pada corak penggunaan rangkaian dan sumber (beban CPU/GPU, trafik rangkaian ke kolam diketahui) instans awan untuk mengesan perisian hasad perlombongan secara masa nyata, serupa dengan cara alat pengesanan dan respons titik akhir (EDR) berfungsi tetapi pada tahap hipervisor.
4. Implikasi Dasar & Peraturan: Penyelidikan ini menyerlahkan jurang data. Badan kawal selia boleh mempertimbangkan untuk memerlukan CSP melaporkan metrik agregat mengenai trafik perlombongan mata wang kripto, seperti laporan transaksi kewangan, untuk meningkatkan ketelusan ekosistem dan memerangi kewangan haram, seperti yang dicadangkan dalam rangka kerja daripada Pasukan Petugas Tindakan Kewangan (FATF).
5. Kajian Aset Generasi Seterusnya: Seperti yang dinyatakan, peralihan ke arah mata wang Metaverse sedang berlaku. Penyelidikan masa depan mesti mengembangkan analisis kepada kolam perlombongan untuk syiling privasi (contohnya, Monero, Zcash) dan aset Bukti-Kerja baharu yang dikaitkan dengan dunia maya dan rangkaian infrastruktur fizikal terpencar (DePIN).
Pandangan Teras
Kertas kerja ini bukan sekadar tentang perlombongan kripto dalam awan; ia adalah pendedahan jelas tentang bagaimana seni bina pengkomputeran moden itu sendiri—terpusat, boleh skala, dan atas permintaan—telah diambil alih untuk memacu ekonomi rantaian blok yang terpencar dan intensif sumber, selalunya dengan niat jahat. Penemuan bahawa hampir separuh aktiviti yang diperhatikan mengalir melalui AWS dan Google Cloud adalah bukti paling mencela setakat ini bahawa "neutraliti awan" adalah mitos dalam landskap penyerang. CSP utama secara tidak sengaja, namun tidak seimbang, menjadi asas operasi perlombongan sah dan haram. Ini mencipta asimetri besar: pembela mesti mengamankan permukaan serangan kongsi yang luas, manakala penyerang menikmati ketangkasan dan anonimiti sumber awan sementara.
Aliran Logik
Logik penulis meyakinkan dan metodologi kukuh. Mereka bermula daripada premis kukuh: pertemuan penerimaan awan dan percambahan mata wang kripto adalah sasaran semula jadi untuk penyalahgunaan. Menggunakan pDNS sebagai lensa asas adalah bijak—ia adalah sumber kebenaran global pasif yang memintas keperluan untuk pemantauan titik akhir intrusif. Perkembangan daripada pengiraan perkaitan mudah kepada mengenal pasti taburan berekor berat adalah di mana analisis melangkaui pengukuran semata-mata. Dengan menggunakan model lekatan pilihan Barabási-Albert, mereka beralih dari "apa" ke "mengapa", berhujah bahawa rangkaian awan-perlombongan bukan rawak tetapi mengikuti corak pertumbuhan yang boleh diramal dan mengukuh sendiri. Ini serupa dengan bagaimana rangkaian sosial atau World Wide Web sendiri berkembang. Lompatan akhir kepada risiko keselamatan, yang dikuantifikasi melalui VirusTotal, mengikat model rangkaian abstrak kembali kepada perisikan ancaman konkrit dan boleh ditindak.
Kekuatan & Kelemahan
Kekuatan: Kekuatan utama kertas kerja ialah pendekatan berasaskan data dan empirikal. Ia mengelak spekulasi, mendasarkan setiap tuntutan dalam data pDNS yang diperhatikan. Penggunaan prinsip sains rangkaian mantap (rangkaian bebas skala) menambah berat teori yang ketara. Fokus pada mata wang Metaverse adalah bijak, menunjukkan penyelidikan mengesan kelebihan inovasi penyerang, bukan hanya ancaman sejarah seperti perlombongan Bitcoin.
Kelemahan Kritikal: Walau bagaimanapun, analisis mempunyai titik buta ketara. Pertama, ia secara semula jadi retrospektif. pDNS menunjukkan di mana serangan pernah berlaku, bukan di mana mereka sedang berlaku atau akan berlaku. Penyerang canggih menggunakan DNS fluks pantas atau sambungan IP langsung boleh mengelak ini. Kedua, tuntutan kausaliti lemah. Perkaitan dalam pDNS tidak membuktikan instans awan digunakan untuk perlombongan; ia boleh menjadi perkhidmatan benigna berkomunikasi dengan kolam, atau laman web yang dikompromi dengan skrip pelombong. Kertas kerja boleh mendapat manfaat daripada teknik yang digunakan dalam kerja seperti Zhu et al.'s CycleGAN—menggunakan pengesahan adversari untuk membezakan dengan lebih baik antara corak perkaitan sah dan berniat jahat. Akhirnya, pemandu ekonomi kurang diterokai. Model mudah membandingkan kos instans awan dengan hasil mata wang kripto akan menerangkan dengan kuat Pulangan atas Pelaburan (ROI) penyerang dan meramalkan wilayah awan atau jenis instans mana yang akan disasarkan seterusnya.
Pandangan Boleh Tindak
Untuk Pasukan Keselamatan CSP: Laksanakan pengesanan anomali berasaskan graf pada log DNS dalaman anda sendiri. Tandakan penyewa yang instansnya menunjukkan resolusi pantas, berurutan kepada set domain kolam perlombongan diketahui yang pelbagai—ciri alat penyebaran automatik. Utamakan penyiasatan sumber di wilayah dengan pengiraan termurah (seperti instans spot AWS).
Untuk Firma Perisikan Ancaman: Integrasikan lapisan atribusi awan ini ke dalam suapan cryptojacking anda. Jangan hanya laporkan domain berniat jahat; laporkan bahawa ia dihoskan pada blok IP CSP tertentu, membolehkan penggantungan lebih tepat dan pantas melalui saluran pembekal langsung.
Untuk Pengawal Selia & Pembuat Dasar: Wajibkan pelaporan ketelusan. Mengikut preseden yang ditetapkan oleh Peraturan Perjalanan FATF untuk VASP, pertimbangkan untuk memerlukan CSP besar melaporkan metrik agregat, dianonimkan mengenai corak penggunaan sumber pengiraan yang menunjukkan perlombongan. Ini mencipta pandangan peringkat makro masalah tanpa menceroboh privasi pengguna.
Kesimpulannya, Adeniran dan Mohaisen telah menyediakan peta penting medan perang tersembunyi. Awan bukan lagi sekadar utiliti; ia adalah sumber strategik dalam perang kripto. Fasa penyelidikan seterusnya mesti beralih dari pemetaan kepada ramalan dan pencegahan, memanfaatkan analitik strim masa nyata dan pemodelan ekonomi untuk kekal di hadapan penyerang yang sudah menggunakan kekuatan awan terhadap pemiliknya.