DB15T 3472-2024虛擬貨幣“挖礦”鑒定技術(shù)指南

15Virtualcurrency"mining"identificationtechnicalguideI1本文件規(guī)定了虛擬貨幣“挖礦”鑒定實施流程，提出線索分析、現(xiàn)場檢查、“挖礦”信息關(guān)聯(lián)分析等環(huán)節(jié)的技術(shù)指南。本文件適用于內(nèi)蒙古自治區(qū)行政區(qū)域內(nèi)利用計算機相關(guān)設(shè)備開展涉及虛擬貨幣“挖礦”的活動。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義GB/T42570、GB/T42572、ISO22739界定的以及下列術(shù)語和定義適用于本文件。使用密碼技術(shù)鏈接將共識確認(rèn)過的區(qū)塊按順序追加形成的分布式帳本。具有特定功能的可獨立運行的區(qū)塊鏈組件。從事虛擬貨幣“挖礦”活動的計算機及相關(guān)設(shè)備。虛擬貨幣“挖礦”活動virtualcurrencyminingactivities通過“礦機”計算生產(chǎn)虛擬貨幣的過程。用于虛擬貨幣“挖礦”活動的分布式記賬技術(shù)(DistributedLedgerTechnology)節(jié)點。[來源：ISO22739:20240,3.48]2礦池miningpool多個礦工通過網(wǎng)絡(luò)，共享計算能力的資源池。用于生成、管理、存儲或使用私鑰和公鑰的應(yīng)用程序。[來源：ISO22739:20240,3.84]4縮略語下列縮略語適用于本文件。CPU:微處理器(CentralProcessingUnit)GPU:圖形處理器(GraphicsProcessingUnit)ASIC:應(yīng)用特定集成電路(Application-SpecificIntegratedCircuit)CDN:內(nèi)容分發(fā)網(wǎng)絡(luò)(ContentDeliveryNetwork)FPGA:現(xiàn)場可編程門陣列(FieldProgrammableGateArray)5虛擬貨幣“挖礦”分類5.1CPU“挖礦”:指使用計算機CPU進(jìn)行虛擬貨幣“挖礦”。5.2GPU“挖礦”:指使用顯卡進(jìn)行虛擬貨幣“挖礦”。5.3ASIC“挖礦”:指使用專門為“挖礦”設(shè)計的硬件芯片，即“應(yīng)用特定集成電路”,來進(jìn)行虛擬貨幣“挖礦”。5.4硬盤存儲“挖礦”:指文件幣(Filecoin)開創(chuàng)的一種“挖礦”模式，擁有硬盤存儲空間即可“挖礦”。5.5CDN“挖礦”:指通過提供網(wǎng)絡(luò)邊緣計算資源，利用網(wǎng)絡(luò)傳輸帶寬進(jìn)行“挖礦”。5.6FPGA“挖礦”:指使用FPGA芯片進(jìn)行加密貨幣“挖礦”。FPGA芯片可通過編程實現(xiàn)對“挖礦”算法的定制化處理，繼而進(jìn)行虛擬貨幣“挖礦”。5.7云“挖礦”:指使用第三方的計算機資源來進(jìn)行“挖礦”,而不是使用“挖礦”者自己的計算機6虛擬貨幣“挖礦”鑒定實施流程6.1虛擬貨幣“挖礦”鑒定實施流程圖虛擬貨幣“挖礦”鑒定實施流程圖如圖1所示。3量一量一“挖礦”線索受理的虛擬貨幣“挖礦的主體線索根據(jù)已掌握的線索信息，依據(jù)本標(biāo)準(zhǔn)提出的虛擬貨幣“挖礦”人員、查看涉事電子郵箱等方式，收集“挖裝或正在運行常用“挖礦”軟件“挖礦”工具、聊天記錄等數(shù)據(jù)是否存在云“挖礦”土述4個條件是否均不成立分析研判掌握的信息進(jìn)行關(guān)聯(lián)，研判屬于主動“挖礦”還是被動“挖礦”出具研判報告，反饋研判結(jié)果46.2線索分析6.2.1監(jiān)測發(fā)現(xiàn)的虛擬貨幣“挖礦”線索分析研判對IP地址、IP地址疑似物理位置和使用單位、礦池IP及端口、礦工端口及時間點案例、幣種、軟件型號、提交次數(shù)等信息進(jìn)行綜合分析，研判信息真實性，若核實后確定存在或疑似存在“挖礦”行為，則開展檢查前準(zhǔn)備工作，確定現(xiàn)場檢查地點、范圍、方式及團(tuán)隊等；若核實后不存在“挖礦”行為，則出具研判報告，反饋研判結(jié)果。6.2.2第三方服務(wù)提供的虛擬貨幣“挖礦”線索分析研判對參與“挖礦”的用戶身份信息、“挖礦”收益信息、礦機IP及其所屬物理位置信息、“挖礦”時間等信息進(jìn)行綜合分析，研判信息真實性，若核實后確定存在或疑似存在“挖礦”行為，則開展檢查前準(zhǔn)備工作，確定現(xiàn)場檢查地點、范圍、方式及團(tuán)隊等；若核實后不存在“挖礦”行為，則出具研判報告，反饋研判結(jié)果。6.2.3受理的虛擬貨幣“挖礦”信訪舉報線索分析研判型號等信息進(jìn)行綜合分析研判，若核實后確定存在或疑似存在“挖礦”行為，則開展檢查前準(zhǔn)備工作，確定現(xiàn)場檢查地點、范圍、方式及團(tuán)隊等；若核實后不存在“挖礦”行為，則出具研判報告，反饋研判結(jié)果。6.2.4電力能耗監(jiān)測數(shù)據(jù)異常的主體線索分析研判對主體用電量數(shù)據(jù)與同期、近期用電量數(shù)據(jù)進(jìn)行綜合分析研判，若嚴(yán)重與正常用電量不符，則列為疑似存在“挖礦”行為，開展檢查前準(zhǔn)備工作，確定現(xiàn)場檢查地點、范圍、方式及團(tuán)隊等；若與正常用電量基本相符，則出具研判報告，反饋研判結(jié)果。6.3現(xiàn)場檢查6.3.1疑似虛擬貨幣“挖礦”設(shè)備外觀分析研判依據(jù)本文件提出的虛擬貨幣“挖礦”種類，從外觀查看(主要看設(shè)備型號)是否為專業(yè)虛擬貨幣“挖礦”設(shè)備。其中，常見的GPU“挖礦”設(shè)備大多數(shù)為無品牌的白殼機，內(nèi)部裝有多張顯卡，也有部分商家在白殼機基礎(chǔ)上貼牌，GPU“挖礦”主要使用顯卡，一般從事大型GPU“挖礦”活動的主體將其偽裝成服務(wù)器。常見的云“挖礦”可基于ASIC礦機、GPU礦機、CDN礦機等設(shè)備，只是所有權(quán)與云“挖礦”模式主要分為托管“挖礦”、虛擬托管“挖礦”和租用算力三種，因此對于此類“挖礦”行為可通過檢查涉事計算機及相關(guān)設(shè)備是否包含常用“挖礦”軟件等方式進(jìn)行研判。虛擬貨幣“挖礦”常見設(shè)備詳見附錄A中的表A.1。6.3.2疑似虛擬貨幣“挖礦”主體的計算機及相關(guān)設(shè)備檢查登錄疑似存在“挖礦”行為的通用設(shè)備，搜索安裝的軟件是否包含常用“挖礦”軟件。若存在虛擬貨幣“挖礦”軟件，則進(jìn)一步定位“挖礦”軟件安裝目錄，分析其配置文件，提取其中的礦池域名、IP、端口，“挖礦”賬戶地址、礦機標(biāo)識等信息并留存上述信息。6.3.3疑似虛擬貨幣“挖礦”設(shè)備網(wǎng)絡(luò)流量檢測研判5礦”成功、虛擬貨幣交易等內(nèi)容，并留存上述礦”設(shè)備存在虛擬貨幣“挖礦”行為；若設(shè)備不存在上述信息，則未檢出虛擬貨幣“挖礦”行為。判斷云端服務(wù)是否屬于礦池或者礦池代理，“挖礦”信息關(guān)聯(lián)分析6本文件所指虛擬貨幣“挖礦”常見設(shè)備可參考表A.1，虛擬貨幣“挖12345671(螞蟻礦池):252stratum+tcp://cn.ssstratum+tcp://:443 stratum+tcp://:25stratum+tcp://:1800stratum+tcp://:443 stratum+tcp://:253(國池)stratum+tcp://jp-stratum.4(魚池)bigminer.io(一站式“云管理”挖礦平臺)5 (萊比特礦池)bak.btc.top:33338表A.2虛擬貨幣“挖礦”主流礦池地址及端口統(tǒng)計表(續(xù))6stratum+tcp://btc.viabtstratum+tcp://:3333stratum+tcp://:443stratum+tcp://:25stratum+tcp://:3333(主地址)stratum+tcp://stratum+tcp://:257(幣網(wǎng)礦池)89(星火礦池):3333:13333FlyP:3333ethproxy+