Cryptocurrencies, kama matumizi ya kwanza ya teknolojia ya blockchain, zimeona ukuaji mkubwa na kupitishwa kwa kawaida. Sehemu ya msingi ya mfumo huu ni mining pool—kikundi cha wachimbaji ambao huchanganya rasilimali za kompyuta ili kuongeza uwezekano wa kupata zawadi za kuzuia, ambazo kisha husambazwa kwa uwiano. Ingawa sarafu za kripto zinatoa faida nyingi, hali yao ya kujificha na isiyo ya katikati pia hurahisisha shughuli mbaya kama vile malipo ya fidia ya wizi wa data na shughuli za usimamizi na amri (C2) za siri. Karatasi hii inachunguza makutano muhimu kati ya mabwawa ya uchimbaji wa sarafu za kripto na miundombinu ya wingu la umma, kwa lengo la kuchora wasifu wa ushirikiano wao, kupima mafichuo ya usalama, na kuiga mienendo yao ya msingi.
Dhana kuu ni kwamba adui zinazidi kutumia rasilimali za wingu la umma kwa uchimbaji wa sarafu za kripto kutokana na uwezo wao wa kupanuka, kubadilika, na uwezekano wa kutumiwa vibaya (k.m., kupitia matukio yaliyoharibiwa). Mabadiliko haya yanawakilisha muunganiko wa mielekeo ya kisasa ya kompyuta na motisha za adui, kukienda mbali na seva binafsi zinazoweza kufuatiliwa kuelekea mipango ya mashambulizi ya msingi ya wingu isiyo ya kudumu.
Utafiti unatumia mbinu ya kutazama isiyoshirikishwa, inayotegemea data ya akili ya mtandao.
Mbinu kuu inahusisha kuchambua passive Domain Name System (pDNS) traces. pDNS data provides historical records of DNS queries and resolutions, allowing researchers to map domain names to IP addresses over time and identify associations between entities (e.g., mining pool domains and cloud provider IP ranges).
Data was aggregated from large-scale pDNS datasets. Mining pool domains were identified through publicly available lists and blockchain intelligence sources. IP addresses resolved from these domains were then mapped to their respective Autonomous System Numbers (ASNs) and organizational owners to identify cloud service providers (CSPs). Security reputation data was cross-referenced from VirusTotal to assess malicious associations.
24
Watoa wakalisha wingu wa kipekee wamepatikana wakiwa na uhusiano na mifuko ya uchimbaji.
~48%
Ya ushirika unaohusishwa na Amazon (AWS) na Google Cloud.
30-35%
Associated endpoints flagged as malicious on VirusTotal.
Uchambuzi ulifichua kuwa Watoa huduma 24 tofauti za wingu la umma wana uhusiano unaoonekana na mabwawa ya uchimbaji wa sarafitete kupitia njia za utatuzi wa DNS. Soko hilo limejikita sana, na Amazon Web Services (AWS) na Google Cloud Platform (GCP) inayochukua karibu nusu (48%) ya ushirikiano wote uliokuzwa. Hii inaonyesha kwamba wachimba madini na wahusika wanaoweza kuwa na nia mbaya wanapendelea watoa huduma wakubwa na wenye ushawishi, pengine kwa sababu ya miundombinu yao kubwa ya kimataifa, uaminifu, na urahisi wa kuchanganyika na trafiki halali.
Usambazaji wa uwepo wa watoa huduma za wingu na idadi ya miunganisho (ushirikiano) kwenye mifuko ya uchimbaji madini unafuata usambazaji wenye mkia mzito, sifa ya mitandao isiyo na kipimo. Muundo huu unaonyesha muundo wa upendeleo wa kiambatisho: popular mining pools are more likely to form new associations with large cloud providers, and vice-versa, creating a "rich-get-richer" dynamic. This mirrors growth patterns observed in other technological networks, from social media to citation graphs.
A significant security finding is the high rate of malicious association. Among the endpoints (IPs/domains) associated with the top two cloud providers (AWS & GCP), 30-35% waligundua vyema kama yanayohusishwa na shughuli za uovu kulingana na uchunguzi wa VirusTotal. Asilimia hii kubwa inasisitiza kwamba uchimbaji wa madini unaotegemea wingu sio tu shughuli halali ya kibiashara bali pia umechanganyika sana na ukamaji wa sarafu za kidijitali, rasilimali zilizoharibiwa, na aina nyingine za uhalifu wa kibernetiki. Karatasi hiyo pia inabainisha mabadiliko kuelekea uchimbaji Sarafu zinazohusiana na Metaverse, ikionyesha mabadiliko ya motisha ya upinzani.
Uunganisho wa upendeleo uliozingatiwa unaweza kuigwa kwa hisabati. Acha $G(t)$ iwe grafu ya mtandao kwa wakati $t$, ambapo nodi zinawakilisha watoa huduma za wingu na mabwawa ya uchimbaji, na kingo zinawakilisha ushirikiano uliozingatiwa. Uwezekano $\Pi(k_i)$ kwamba muunganisho mpya unafanywa kwa nodi $i$ unalingana na kiwango chake cha sasa $k_i$:
$$
Zaidi ya hayo, hatari ya usalama $R_c$ kwa mtoa huduma wa wingu $c$ inaweza kufasiriwa kama utendakazi wa kiasi cha ushirikiano $V_c$ na uwiano mbaya $M_c$ wa ushirikiano huo:
$$
Mchoro 1: Sehemu ya Ushirika wa Mtoa Huduma za Wingu. Mchoro wa pai au grafu ya baa ungetawala uchambuzi kwa kuonekana, ukionyesha AWS na GCP pamoja zinazoshikilia ~48% ya hisa ya ushirika, ikifuatiwa na mkia mrefu wa watoa huduma wengine (Microsoft Azure, Alibaba Cloud, DigitalOcean, n.k.) wanaounda 52% iliyobaki.
Chati 2: Usambazaji wa Digrii Log-Log Plot. Matokeo muhimu ya majaribio ni grafu ya log-log ya usambazaji wa digrii za nodi. Chati ingeonyesha mstari ulionyooka na mteremko hasi, ikithibitisha usambazaji wa nguvu, wenye mkia mzito $P(k) \sim k^{-\gamma}$. Grafu hii ni ushahidi wa moja kwa moja wa utaratibu wa kiambatisho cha upendeleo unaofanya kazi.
Chati 3: Uwiano wa Sehemu ya Mwisho ya Uovu kwa Mtoa Huduma Mkuu. A grouped bar chart comparing AWS and GCP, showing that approximately 35% of AWS-associated endpoints and 30% of GCP-associated endpoints were flagged as malicious, providing a quantifiable measure of security risk.
Case: Tracking a Suspected Cryptojacking Operation
Hatua ya 1 - Utambulishaji wa Mbegu: Anza na faili ya binary inayojulikana kuwa mbaya ya madini ya sarafu ya dijitali au kikoa kutoka kwenye chanzo cha habari cha vitisho (mfano, `malicious-miner-pool[.]xyz`).
Hatua ya 2 - Upanuzi wa pDNS: Chunguza data ya pDNS kwa anwani zote za IP (rekodi za `A`) zinazohusishwa na kikoa cha chanzi katika miezi 6 iliyopita.
Hatua ya 3 - Ugawaji wa Wingu: Kwa kila anwani ya IP iliyotatuliwa, fanya utafutaji wa WHOIS na uweke ramani ya ASN. Chuja anuwai za IP zinazomilikiwa na watoa wakuu wa huduma za wingu (mfano, AWS `us-east-1`).
Hatua ya 4 - Uundaji wa Grafu: Elezea data kama grafu ya pande mbili: seti moja ya nodi ni vikoa vya mfuko wa madini, nyingine ni vitalu vya anwani za IP vya CSP. Ukingo upo ikiwa kikoa kilitatuliwa kuwa anwani ya IP katika kizuizi hicho.
Step 5 - Anomaly Detection & Risk Scoring:
Matokeo: Mfumo huu unaweza kutambua sio tu matukio binafsi ya uhalifu, bali pia mifumo ya unyanyasaji katika miundombinu ya wingu, na kuwezesha taarifa maalum kwa timu za usalama za CSP kuhusu vitalu maalum vya IP vilivyo na hatari kubwa.
1. Utafiti wa Tahadhari za Kukabiliana na Tishio kwa Waandalizi wa Huduma za Wingu: Waandalizi wa wingu wanaweza kuunganisha uchambuzi sawa wa pDNS katika vituo vyao vya ndani vya usalama (SOCs) ili kutambua mapema na kusimamisha rasilimali zinazotumiwa kwa uchimbaji haramu, na hivyo kupunguza matumizi mabaya na kuhifadhi miundombinu kwa wateja halali.
2. Ujumuishaji wa Uchambuzi wa Blockchain: Kazi ya baadaye inapaswa kuchanganya data ya miamala ya mnyororo na ujuzi wa IP nje ya wingu. Kwa kuunganisha anwani za malipo ya uchimbaji na sehemu za mwisho za mkusanyiko uliowekwa kwenye wingu, watafiti wanaweza kufuatilia mtiririko wa kifedha wa mapato ya ukamaji wa sarafu ya kidijitali, mbinu inayofanana na zile zinazotumiwa na Chainalysis na Elliptic.
3. Ugunduzi wa Tabia Unaendeshwa na Akili Bandia: Miundo ya kujifunza ya mashine inaweza kufunzwa kwenye mtandao na muundo wa matumizi ya rasilimali (mzigo wa CPU/GPU, trafiki ya mtandao kwenye mkusanyiko unaojulikana) wa matukio ya wingu ili kugundua virusi vya uchimbaji kwa wakati halisi, sawa na jinsi zana za Ugunduzi na Utekelezaji wa Sehemu ya Mwisho (EDR) zinavyofanya kazi lakini kwa kiwango cha hypervisor.
4. Policy & Regulatory Implications: Utafiti huu unaonyesha pengo la data. Vyombo vya udhibiti vinaweza kufikiria kuwataka Waandalizi wa Huduma za Wingu (CSPs) kuripoti viwango vya jumla vya trafiki ya uchimbaji wa sarafu za kidijitali, kama vile ripoti za miamala ya kifedha, ili kuboresha uwazi wa mfumo wa kiuchumi na kupambana na ufisadi haramu, kama ilivyopendekezwa katika mifumo ya Kikundi cha Kazi cha Kitendo cha Kifedha (FATF).
5. Utafiti wa Mali za Kizazi Kijacho: Kama ilivyotajwa, mabadiliko kuelekea sarafu za Metaverse yanatokea. Utafiti wa baadaye lazima upanue uchambuzi kwenye mabwawa ya uchimbaji kwa sarafu za faragha (mfano, Monero, Zcash) na mali mpya za Uthibitisho wa Kazi zinazohusishwa na ulimwengu wa kuwaziwa na mitandao ya miundombinu ya kimwili isiyo na kituo cha udhibiti (DePIN).
Uelewa wa Msingi
Karatasi hii haihusiani tu na uchimbaji wa fedha za kriptografia wingu; ni ufichuazi mkali wa jinsi muundo wenyewe wa kompyuta za kisasa—uliojikita, unaoweza kupanuka, na unaotolewa kwa mahitaji—umetumiwa kuchochea uchumi wa mnyororo wa vitalu uliojitegemea na wenye matumizi makubwa ya rasilimali, mara nyingi kwa nia mbaya. Ugunduzi kwamba karibu nusu ya shughuli zilizozingatiwa hupitia AWS na Google Cloud ndio ushahidi wenye madhara zaidi hadi sasa kwamba "upendeleo wa wingu" ni hadithi za kubuni katika mazingira ya upinzani. Watoa huduma wakuu wa wingu (CSPs) bila kujua, lakini kwa kiasi kisicholingana, ndio msingi wa shughuli za uchimbaji halali na haramu. Hii inaunda tofauti kubwa: watetezi lazima walinde eneo kubwa la mashambulizi linaloshirikiwa, huku washambuliaji wakifurahia uwezo wa kubadilika na kutojulikana kwa rasilimali za wingu za muda mfupi.
Mfuatano wa Kimantiki
Mantiki ya waandishi ni ya kulazimisha na imara kimaadili. Wanazindua kutoka kwenye msingi thabiti: muunganiko wa kupitishwa kwa wingu na kuenea kwa sarafu za kidijitali ni lengo la asili la unyanyasaji. Kutumia pDNS kama lenzi ya msingi ni busara—ni chanzo cha ukweli cha kimataifa, kisichoingilia, kinachopita haja ya ufuatiliaji wa kuingilia mwisho. Maendeleo kutoka kwa kuhesabu ushirikiano rahisi hadi kutambua usambazaji wenye mkia mzito ndipo uchambuzi unapozidi kipimo tu. Kwa kuitaja muundo wa Barabási-Albert wa kiambatisho cha upendeleo, wanahama kutoka "nini" hadi "kwanini," wakidai kuwa mtandao wa uchimbaji wingu sio wa nasibu bali unafuata muundo unaotabirika wa ukuaji unaojithibitisha. Hii inafanana na jinsi mitandao ya kijamii au Wavuti yenyewe ilivyokua. Kuruka la mwisho kuelekea hatari ya usalama, kilichopimwa kupitia VirusTotal, kinahusisha muundo wa mtandao wa kiwango nyuma na taarifa ya hatari halisi, inayoweza kutekelezwa.
Strengths & Flaws
Nguvu: Nguvu kuu ya karatasi hii ni mbinu inayoendeshwa na data, ya kijaribioInakwepa uvumi, ikiankili kila madai katika data ya pDNS iliyozingatiwa. Matumizi ya kanuni zilizothibitishwa za sayansi ya mtandao (mitandao isiyo na kiwango) huongeza uzito mkubwa wa kinadharia. Mwelekeo kwenye Sarafu za Metaverse ni ya kuona mbele, ikionyesha utafiti unafuatilia upeo wa uvumbuzi wa kupinga, sio tu vitisho vya kihistoria kama vile uchimbaji wa Bitcoin.
Kasoro Muhimu: Hata hivyo, uchambuzi huo una mapungufu ya wazi. Kwanza, ni kimsingi ya kurudi nyumapDNS inaonyesha mahali ambapo mashambulizi yalikuwa, sio mahali ambapo yapo au watakuwa. Watendaji wenye ujuzi wanaotumia DNS ya mabadiliko ya haraka au miunganisho ya IP ya moja kwa moja wanaweza kuepuka hili. Pili, Daimu ya uhusiano wa sababu na athari dhaifu.Uhusiano katika pDNS hauthibitishi kuwa mfano wa wingu ulikuwa. ulitumika kwa uchimbaji; inaweza kuwa huduma nzuri inayowasiliana na bwawa, au tovuti iliyoharibiwa iliyo na hati ya mchimbaji. Karatasi inaweza kufaidika na mbinu zilizotumiwa katika kazi kama vile CycleGAN ya Zhu et al.—kutumia uthibitishaji wa kupinga ili kutofautisha vyema kati ya muundo halali na uovu wa ushirikiano. Hatimaye, kichocheo cha kiuchumi hakijachunguzwa kikamilifu. Mfano rahisi unaolinganisha gharama ya mfano wa wingu dhidi ya mavuno ya sarafu ya kidijitali ungeelezea kwa nguvu Faida ya Uwekezaji (ROI) ya adui na kutabiri ni maeneo gani ya wingu au aina gani za mifano zitakayolengwa ijayo.
Ufahamu Unaoweza Kutekelezwa
Kwa Timu za Usalama za CSP: Tekeleza ugunduzi wa ukiukaji wa kawaida unaotegemea grafu kwenye magogo yako ya ndani ya DNS. Weka alama kwa wakodishaji ambao vipeo vyao vinaonyesha utatuzi wa haraka na wa mfululizo kwa seti mbalimbali za vikoa vinavyojulikana vya madini ya sarafu ya mtandao—dalili ya zana za usanidi wa kiotomatiki. Kipa kipaumbele uchunguzi wa rasilimali katika maeneo yenye gharama nafuu zaidi ya kompyuta (kama AWS spot instances).
Kwa Makampuni ya Ujasusi wa Vitisho: Unganisha hii safu ya ushirikishaji wingu kwenye mifumo yako ya habari za ukwepaji wa sarafu za kidijitali. Usiripoti tu kikoa cha kudhuru; ripoti kuwa limewekwa kwenye kizuizi cha anwani ya IP mahususi cha Mtoa Huduma ya Wingu, na kuwezesha kuondolewa kwa usahihi zaidi na kwa kasi kupitia njia za moja kwa moja za mtoa huduma.
For Regulators & Policymakers: Mandate Utoaji wa taarifa uwazi. Kufuatia mfano uliowekwa na Kanuni ya Usafiri ya FATF kwa VASPs, fikiria kuhitaji CSPs kubwa kutoa takwimu zilizojumuishwa, zisizo na majina kuhusu mifumo ya matumizi ya rasilimali za kompyuta zinazoashiria uchimbaji. Hii inaunda mtazamo wa kiwango kikuu cha tatizo bila kukiuka faragha ya mtumiaji.
Kwa kumalizia, Adeniran na Mohaisen wametoa ramani muhimu ya uwanja wa vita uliofichika. Wingu sio tena tu kifaa; ni rasilimali ya kimkakati katika vita vya crypto. Awamu inayofuata ya utafiti lazima iende kutoka kwa uchoraji ramani hadi utabiri na kuzuia mapema, ikitumia uchambuzi wa mtiririko wa wakati halisi na uundaji wa kiuchumi ili kuwa mbele ya maadui ambao tayari wanatumia nguvu za wingu dhidi ya wamiliki wake.