マイニング作業をハッキングから保護するにはどうすればよいですか?主要な脆弱性とは何ですか?

ネットワークインフラストラクチャの強化

1. Stratum や NTP などの重要なポートのみにインバウンドおよびアウトバウンドのトラフィックを制限する厳格なファイアウォール ルールを使用して、マイニング リグを専用 VLAN 上に分離します。

2. エアギャップ ツールを介してアクティブに管理されていない限り、ASIC ファームウェア上の SSH、Telnet、HTTP 管理インターフェイスなどの未​​使用のネットワーク サービスを無効にします。

3. すべてのリモート管理ダッシュボードに TLS 1.2+ 暗号化を適用し、デフォルトの資格情報を回避します。展開前に工場出荷時に設定されたユーザー名とパスワードを置き換えます。

4. スイッチに MAC アドレス フィルタリングとポート セキュリティを実装して、マイニング サブネットへの不正なデバイスの挿入を防ぎます。

5. 集中型 SIEM システムへのすべての接続試行をログに記録し、繰り返される認証の失敗または異常な地理位置情報パターンに対するアラートを構成します。

ファームウェアとソフトウェアのサプライチェーンのリスク

1. フラッシュする前に、Bitmain、MicroBT、または Canaan によってリリースされたすべてのファームウェア アップデートの暗号署名を検証します。チェックサム検証なしでベンダーが提供するダウンロード リンクだけに依存しないでください。

2. 独立したセキュリティ研究者による監査がない限り、サードパーティのマイニング OS ディストリビューションを避けます。多くには、隠れたコインマイナーやバックドアの RPC エンドポイントが含まれています。

3. GitHub リポジトリとコミュニティ フォーラムを監視して、侵害されたバイナリの報告を探します。いくつかの「最適化された」cgminer フォークが、攻撃者が制御するウォレットにステルス ペイアウトを注入していることが発見されています。

4. バージョン管理およびハッシュ レジストリを使用して既知の正常なファームウェア イメージの内部リポジトリを維持し、公式リリースの発表と相互参照した後にのみ更新します。

5. 運用環境では自動更新機能を有効にしないでください。未検証のパッチにより、意図しない攻撃対象領域が生じたり、ダウングレードの脆弱性が生じたりする可能性があります。

ウォレットと支払いのセキュリティプロトコル

1. マイニング プールの支払いアドレスを平文構成ファイルに保存しないでください。保存時に暗号化された環境変数またはハードウェア支援のキー管理システムを使用してください。

2. プールされた収益に対して複数署名の出金ポリシーを設定し、0.1 BTC を超える送金には少なくとも 2 人のオフライン署名者を必要とします。

3. プール API キーを定期的に監査し、90 日ごとにローテーションします。リグが予期しない再起動やアイドル期間中の CPU 使用率の上昇などの異常な動作を示した場合は、ただちにキーを取り消します。

4. 決定論的なウォレット導出パス (BIP-44) と強化された子キーの生成を使用して、部分的な侵害によりリカバリ シードが親秘密キーを公開しないようにします。

5. ブロードキャストの前に、すべての送信トランザクションをローカルのフル ノードに対して検証します。マルウェアは以前に署名中にトランザクション出力を傍受し、変更していました。

物理的なアクセス制御

1. すべての ASIC ユニットとネットワーク ギア キャビネットに改ざん防止シールを取り付け、施設管理者のみがアクセスできる共有台帳にシール番号と検査タイムスタンプを記録します。

2. ラックの入り口、配電ユニット、コンソール サーバー ポートをカバーするモーション トリガー録画機能を備えた監視カメラを導入し、映像を最低 90 日間保存します。

3. メンテナンススケジュールに合わせた時間ベースのアクセスウィンドウと組み合わせた生体認証を使用して、採掘施設への物理的なアクセスを制限します。

4. コントローラーのフロントパネルから USB ポートを削除するか、BIOS ロックダウンによって USB ポートを無効にします。いくつかの侵害は、定期的なクリーニング中に挿入された悪意のある USB ドライブから発生しました。

5. バックアップ リカバリ メディア (コールド ウォレット シードやファームウェア署名キーを含む) を、二重管理の取得要件を備えた地理的に離れた金庫に保管します。

よくある質問と直接の回答

Q: 単一のマイニング リグ上のマルウェアが、同じ LAN 上の他のマイニング リグに拡散する可能性はありますか?はい。パッチが適用されていない Stratum プロキシ実装と公開された RPC ポートにより、同種の ASIC フリート間でのクレデンシャル スタッフィングおよび SMB エクスプロイトを介した横方向の移動が可能になりました。

Q: マイニングプールが提出された株式を傍受したり変更したりすることはありますか?独自のストラタム拡張機能を備えた一部のプールでは、共有難易度フィールドを変更して、報告されるハッシュレート メトリクスを水増ししていることが観察されています。これは、報酬分配の公平性を歪め、実際のパフォーマンスの低下を隠す行為です。

Q: ASIC ファームにクラウドベースの監視ダッシュボードを使用しても安全ですか?いいえ、広く導入されているいくつかの SaaS 監視プラットフォームは、暗号化されていない WebSocket 接続を介してリグ メトリクスを送信し、IP アドレス、ファームウェア バージョン、稼働時間データを受動的な盗聴者に公開し、これを既知のエクスプロイト タイムラインと関連付けます。

Q: 攻撃者は通常、どのようにして露出したマイニング インフラストラクチャを発見しますか?これらは、Shodan と Censys をスキャンして、BFGMiner、CGMiner、およびカスタム Stratum 実装で一般的に使用されるオープン ポート 3333、4028、4067、および 4444 と、古いファームウェア フィンガープリントを持つ相互参照バナーをスキャンします。