As criptomoedas, como uma aplicação de topo da tecnologia blockchain, testemunharam um crescimento exponencial e adoção generalizada. Um componente fundamental deste ecossistema é o pool de mineração—um coletivo de mineiros que combina recursos computacionais para aumentar a probabilidade de obter recompensas de bloco, que são então distribuídas proporcionalmente. Embora as criptomoedas ofereçam inúmeros benefícios, a sua natureza pseudónima e descentralizada também facilita atividades maliciosas, como pagamentos de ransomware e operações secretas de comando e controlo (C2). Este artigo investiga a interseção crítica entre os pools de mineração de criptomoedas e a infraestrutura de nuvem pública, com o objetivo de traçar o seu perfil de associações, medir as exposições de segurança e modelar as suas dinâmicas subjacentes.
A hipótese central é que os adversários estão a aproveitar cada vez mais os recursos de nuvem pública para a mineração de criptomoedas devido à sua escalabilidade, flexibilidade e potencial de abuso (por exemplo, através de instâncias comprometidas). Esta mudança representa uma convergência das tendências modernas de computação e dos incentivos adversariais, afastando-se de servidores privados rastreáveis para frentes de ataque efêmeras baseadas na nuvem.
O estudo emprega uma abordagem passiva e observacional baseada em dados de inteligência de rede.
A metodologia central envolve a análise de rastos de DNS Passivo (pDNS). Os dados de pDNS fornecem registos históricos de consultas e resoluções DNS, permitindo aos investigadores mapear nomes de domínio para endereços IP ao longo do tempo e identificar associações entre entidades (por exemplo, domínios de pools de mineração e intervalos de IP de provedores de nuvem).
Os dados foram agregados a partir de conjuntos de dados de pDNS de grande escala. Os domínios dos pools de mineração foram identificados através de listas publicamente disponíveis e fontes de inteligência da blockchain. Os endereços IP resolvidos a partir destes domínios foram então mapeados para os seus respetivos Números de Sistema Autónomo (ASN) e proprietários organizacionais para identificar os provedores de serviços de nuvem (CSP). Os dados de reputação de segurança foram cruzados com o VirusTotal para avaliar associações maliciosas.
24
Provedores de nuvem únicos encontrados associados a pools de mineração.
~48%
Das associações ligadas à Amazon (AWS) e Google Cloud.
30-35%
Endpoints associados sinalizados como maliciosos no VirusTotal.
A análise revelou que 24 provedores de nuvem pública distintos têm associações observáveis com pools de mineração de criptomoedas através de caminhos de resolução DNS. O mercado é altamente concentrado, com a Amazon Web Services (AWS) e a Google Cloud Platform (GCP) a representarem quase metade (48%) de todas as associações observadas. Isto sugere que os mineiros e, potencialmente, atores maliciosos, favorecem provedores grandes e estabelecidos, provavelmente devido à sua vasta infraestrutura global, fiabilidade e à facilidade de se misturarem com tráfego legítimo.
A distribuição da presença dos provedores de nuvem e do número de ligações (associações) aos pools de mineração segue uma distribuição de cauda pesada, característica de redes sem escala. Este padrão indica um modelo intrínseco de anexação preferencial: os pools de mineração populares têm maior probabilidade de formar novas associações com grandes provedores de nuvem, e vice-versa, criando uma dinâmica de "os ricos ficam mais ricos". Isto espelha os padrões de crescimento observados noutras redes tecnológicas, desde as redes sociais aos gráficos de citações.
Uma descoberta de segurança significativa é a elevada taxa de associação maliciosa. Entre os endpoints (IPs/domínios) associados aos dois principais provedores de nuvem (AWS & GCP), 30-35% foram detetados positivamente como ligados a atividades maliciosas com base em análises do VirusTotal. Esta percentagem elevada sublinha que a mineração baseada na nuvem não é apenas uma atividade comercial legítima, mas está fortemente entrelaçada com cryptojacking, recursos comprometidos e outras formas de cibercrime. O artigo também observa uma mudança para a mineração de moedas relacionadas com o Metaverso, indicando incentivos adversariais em evolução.
A anexação preferencial observada pode ser modelada matematicamente. Seja $G(t)$ o grafo da rede no tempo $t$, onde os nós representam provedores de nuvem e pools de mineração, e as arestas representam associações observadas. A probabilidade $\Pi(k_i)$ de uma nova ligação ser feita ao nó $i$ é proporcional ao seu grau atual $k_i$:
$$ \Pi(k_i) = \frac{k_i}{\sum_j k_j} $$ Este princípio do modelo de Barabási–Albert explica o surgimento da distribuição de grau de cauda pesada $P(k) \sim k^{-\gamma}$, onde $P(k)$ é a probabilidade de um nó ter grau $k$, e $\gamma$ é uma constante tipicamente entre 2 e 3. Os dados empíricos do estudo ajustam-se a este modelo, confirmando a natureza sem escala da rede.
Além disso, o risco de segurança $R_c$ para um provedor de nuvem $c$ pode ser conceptualizado como uma função do seu volume de associação $V_c$ e da taxa maliciosa $M_c$ dessas associações:
$$ R_c = f(V_c, M_c) \approx \alpha \cdot \log(V_c) \cdot M_c^{\beta} $$ onde $\alpha$ e $\beta$ são parâmetros que ponderam a contribuição do tamanho versus da densidade maliciosa para a exposição total ao risco.
Gráfico 1: Quota de Associação por Provedor de Nuvem. Um gráfico circular ou de barras dominaria visualmente a análise, mostrando que a AWS e a GCP detêm coletivamente ~48% da quota de associação, seguidos por uma longa cauda de outros provedores (Microsoft Azure, Alibaba Cloud, DigitalOcean, etc.) que constituem os restantes 52%.
Gráfico 2: Gráfico Log-Log da Distribuição de Grau. Um resultado experimental chave é o gráfico log-log da distribuição do grau dos nós. O gráfico mostraria uma linha reta com uma inclinação negativa, confirmando a distribuição de lei de potência, de cauda pesada $P(k) \sim k^{-\gamma}$. Este gráfico é evidência direta do mecanismo de anexação preferencial em ação.
Gráfico 3: Taxa de Endpoints Maliciosos por Provedor Principal. Um gráfico de barras agrupadas comparando a AWS e a GCP, mostrando que aproximadamente 35% dos endpoints associados à AWS e 30% dos associados à GCP foram sinalizados como maliciosos, fornecendo uma medida quantificável do risco de segurança.
Caso: Rastreamento de uma Operação Suspeita de Cryptojacking
Passo 1 - Identificação da Semente: Começar com um binário de minerador de moedas malicioso conhecido ou um domínio de um feed de inteligência de ameaças (por exemplo, `malicious-miner-pool[.]xyz`).
Passo 2 - Expansão pDNS: Consultar dados de pDNS para todos os endereços IP (registos `A`) associados ao domínio semente nos últimos 6 meses.
Passo 3 - Atribuição à Nuvem: Para cada IP resolvido, realizar uma pesquisa WHOIS e mapeamento ASN. Filtrar intervalos de IP pertencentes a CSPs principais (por exemplo, AWS `us-east-1`).
Passo 4 - Construção do Grafo: Modelar os dados como um grafo bipartido: um conjunto de nós são domínios de pools de mineração, o outro são blocos de IP de CSPs. Existe uma aresta se um domínio foi resolvido para um IP nesse bloco.
Passo 5 - Deteção de Anomalias & Pontuação de Risco:
Resultado: Esta estrutura pode identificar não apenas instâncias maliciosas individuais, mas padrões de abuso em toda a infraestrutura de nuvem, permitindo alertas direcionados às equipas de segurança dos CSPs sobre blocos de IP específicos de alto risco.
1. Caça Proativa a Ameaças para CSPs: Os provedores de nuvem podem integrar uma análise de pDNS semelhante nos seus centros de operações de segurança (SOC) internos para identificar e suspender proativamente recursos usados para mineração ilícita, reduzindo o abuso e conservando a infraestrutura para clientes legítimos.
2. Integração de Análise de Blockchain: Trabalhos futuros devem fundir dados de transações on-chain com inteligência de IP fora da nuvem. Ao correlacionar endereços de recompensa de mineração com endpoints de pools hospedados na nuvem, os investigadores poderiam rastrear o fluxo financeiro dos proveitos de cryptojacking, uma técnica semelhante às usadas pela Chainalysis e Elliptic.
3. Deteção Comportamental Baseada em IA: Modelos de aprendizagem automática podem ser treinados nos padrões de consumo de rede e recursos (carga de CPU/GPU, tráfego de rede para pools conhecidos) de instâncias de nuvem para detetar malware de mineração em tempo real, semelhante ao funcionamento das ferramentas de deteção e resposta de endpoints (EDR), mas ao nível do hipervisor.
4. Implicações Políticas & Regulatórias: Esta pesquisa destaca uma lacuna de dados. Os órgãos reguladores podem considerar exigir que os CSPs reportem métricas agregadas sobre o tráfego de mineração de criptomoedas, semelhante aos relatórios de transações financeiras, para melhorar a transparência do ecossistema e combater o financiamento ilícito, conforme sugerido nos quadros do Grupo de Ação Financeira Internacional (GAFI).
5. Estudo de Ativos de Próxima Geração: Como observado, está a ocorrer uma mudança para moedas do Metaverso. A pesquisa futura deve expandir a análise para pools de mineração de moedas de privacidade (por exemplo, Monero, Zcash) e novos ativos de Prova de Trabalho ligados a mundos virtuais e redes de infraestrutura física descentralizada (DePIN).
Ideia Central
Este artigo não é apenas sobre mineração de criptomoedas na nuvem; é uma exposição crua de como a própria arquitetura da computação moderna—centralizada, escalável e sob demanda—foi cooptada para alimentar a economia blockchain descentralizada e intensiva em recursos, muitas vezes com intenção maliciosa. A descoberta de que quase metade da atividade observada flui através da AWS e da Google Cloud é a evidência mais condenatória até agora de que a "neutralidade da nuvem" é um mito no cenário adversarial. Os principais CSPs são, involuntariamente, mas desproporcionalmente, a base tanto de operações de mineração legítimas como ilícitas. Isto cria uma assimetria massiva: os defensores devem proteger uma vasta superfície de ataque partilhada, enquanto os atacantes desfrutam da agilidade e anonimato dos recursos efêmeros da nuvem.
Fluxo Lógico
A lógica dos autores é convincente e metodologicamente sólida. Eles partem de uma premissa sólida: a convergência da adoção da nuvem e da proliferação de criptomoedas é um alvo natural para abuso. Usar o pDNS como uma lente fundamental é inteligente—é uma fonte de verdade passiva e global que contorna a necessidade de monitorização intrusiva de endpoints. A progressão da simples contagem de associações para a identificação de distribuições de cauda pesada é onde a análise transcende a mera medição. Ao invocar o modelo de anexação preferencial de Barabási-Albert, eles passam do "o quê" para o "porquê", argumentando que a rede de mineração na nuvem não é aleatória, mas segue padrões de crescimento previsíveis e auto-reforçadores. Isto é semelhante à forma como as redes sociais ou a própria World Wide Web evoluíram. O salto final para o risco de segurança, quantificado via VirusTotal, liga o modelo de rede abstrato de volta a inteligência de ameaças concreta e acionável.
Pontos Fortes & Falhas
Pontos Fortes: O principal ponto forte do artigo é a sua abordagem empírica e baseada em dados. Evita a especulação, fundamentando cada afirmação em dados de pDNS observados. O uso de princípios estabelecidos da ciência das redes (redes sem escala) adiciona um peso teórico significativo. O foco nas moedas do Metaverso é premonitório, mostrando que a pesquisa está a acompanhar a vanguarda da inovação adversarial, não apenas ameaças históricas como a mineração de Bitcoin.
Falhas Críticas: No entanto, a análise tem pontos cegos notáveis. Primeiro, é inerentemente retrospetiva. O pDNS mostra onde os ataques estiveram, não onde estão ou estarão. Atores sofisticados usando DNS de fluxo rápido ou ligações IP diretas podem evadir isto. Segundo, a afirmação de causalidade é fraca. Uma associação em pDNS não prova que a instância de nuvem foi usada para mineração; poderia ser um serviço benigno a comunicar com um pool, ou um website comprometido com um script de mineração. O artigo beneficiaria de técnicas usadas em trabalhos como o CycleGAN de Zhu et al.—empregando validação adversarial para distinguir melhor entre padrões de associação legítimos e maliciosos. Finalmente, o motor económico é pouco explorado. Um modelo simples comparando o custo da instância de nuvem com o rendimento da criptomoeda explicaria poderosamente o Retorno do Investimento (ROI) do adversário e preveria quais regiões de nuvem ou tipos de instância serão alvo a seguir.
Insights Acionáveis
Para Equipas de Segurança de CSPs: Implementar deteção de anomalias baseada em grafos nos vossos próprios registos DNS internos. Sinalizar inquilinos cujas instâncias mostrem resolução rápida e sequencial para um conjunto diversificado de domínios de pools de mineração conhecidos—uma marca registada de ferramentas de implantação automatizada. Priorizar a investigação de recursos em regiões com a computação mais barata (como instâncias spot da AWS).
Para Empresas de Inteligência de Ameaças: Integrar esta camada de atribuição à nuvem nos vossos feeds de cryptojacking. Não reportem apenas um domínio malicioso; reportem que está hospedado num bloco de IP específico de um CSP, permitindo remoções mais precisas e rápidas através de canais diretos do provedor.
Para Reguladores & Criadores de Políticas: Exigir relatórios de transparência. Seguindo o precedente estabelecido pela Regra de Viagem do GAFI para VASPs, considerar exigir que grandes CSPs reportem métricas agregadas e anonimizadas sobre padrões de consumo de recursos computacionais indicativos de mineração. Isto cria uma visão macro do problema sem infringir a privacidade do utilizador.
Em conclusão, Adeniran e Mohaisen forneceram um mapa crucial de um campo de batalha oculto. A nuvem já não é apenas uma utilidade; é um recurso estratégico nas guerras das criptomoedas. A próxima fase da pesquisa deve passar do mapeamento para a previsão e preempção, aproveitando análises de streaming em tempo real e modelação económica para se manter à frente dos adversários que já estão a usar os pontos fortes da nuvem contra os seus proprietários.