有關區塊鏈和數字貨幣的安全問題最近也越來越受關注，而日本最近也曝出了近期該國內最大的一筆虛擬幣被盜案。

　　據悉，日本最大比特幣交易所之一Coincheck發布聲明，稱交易所的“新經幣”(NEM)被非法轉移至其他交易所。Coincheck表示，沒有發現其他虛擬貨幣存在相似問題，但也不知曉新經幣是如何丟失的。當天，Coincheck宣布暫停所有虛擬貨幣提現，同時暫停除了比特幣之外所有的代幣交易。

　　該事件發生之后，日本金融廳(FSA)向日本全國約30家經營虛擬貨幣交易所的公司發出通知，警告可能還會發生更多的類似事件，提醒交易所做好安全措施。而Coincheck宣布將使用日元對用戶進行賠償，補償價格為88.549日元乘以擁有的數量，補償金額總計達463億日元，約合4.26億美元。

　　自區塊鏈受業內追捧以來，其中心化、共識機制等等特性時常被支持者掛在嘴邊，但鮮有人對其安全提及一二。

　　從目前各類比特幣被盜案來看，顯然其安全是很值得重視的，不過，不要以為安全只局限在虛擬幣防盜方面，作為生產虛擬幣的源頭，挖礦同樣存在著安全漏洞。

　　不知道各位是否還記得，去年九月，盜版下載種子站“海盜灣”(The Pirate Bay)
的網頁被發現內置了虛擬幣的挖礦程序，用戶打開網站時其登陸設備即成為網站的挖礦設備，用比較洋氣的說法就是“眾包挖礦”。

　　此事被曝光之后，在巨大的輿論壓力面前，海盜灣管理員出面認錯，稱網站需要生存，他們在“測試”這種新的收入方式，因為網站上堆積如山的廣告已經備受詬病。

　　遺憾的是，這種事在去年發生了多次。

　　本周，YouTube的網頁居然也被發現存在內置挖礦代碼的現象，據悉，在 YouTube
網頁的右上角位置，視頻播放控件的右側、推薦視頻的上方，展示的是來自于 Google DoubleClick
廣告平臺的廣告。涉事的廣告上沒有內容，一片空白，顯得十分蹊蹺。

　　調查后研究人員發現，這個廣告里的 JavaScript 代碼里，包含了一段挖礦腳本，而這一腳本挖的虛擬幣名為Monero。

　　像上面這些，統稱為挖礦劫持，也就是通過內置腳本讓使用者的設備成為對方的挖礦工具，從而實現“云挖礦”。由于網頁使用的是 JavaScript
，這種程序語言可以實現靜默運行，沒有提示，不需要安裝，更不需要你的同意，因此，做起壞事來跟隱蔽，這種方式也是目前最為流行的挖礦劫持方式。

　　唯一能被用戶感知的，可能就是突然增加的CPU、GPU占用率。

　　如果想預防，小白用戶也只能通過這一現象來判斷。比如風扇狂轉，這是CPU 利用率提高的一個表象，然后通過任務管理器(Mac可使用自帶的活動監視器
)觀察CPU的使用率。

　　此外，如果你能在網頁代碼中找到Coinhive 的字樣也要小心，因為
Coinhive自稱是一個分布式挖礦服務的供應商，但安全人士將其定性為惡意軟件。

　　一旦網頁中植入Coinhive 代碼，訪客打開網頁后，每秒可以進行 20
或更多次哈希計算(挖礦程序)。打開網頁的人越多，挖到的Monero越多。說起Coinhive，海盜灣事件爆發時正式前者發布第一代分布式數字貨幣挖掘服務的時候，該事件也成了它的成名作。

　　對于挖礦劫持所得收益來說，Coinhive和網站三七開。但獨立開發者 Maxence Cornet 曾經做過一個測試，一個日均 1000
獨立訪客，每人每 session 50 秒左右的網站，在 60 個小時內產生了 0.00947 個Monero，折合每天 36
美分，連一個漢堡都買不了。

　　如此低收益高風險的事情，想必大多數黑客也是抱著玩票的心態嘗試一下，但是，小網站收益不盡人意，但像YouTube這種夾雜大量視頻內容的巨型網站，流量客觀，挖礦劫持所得收益可能要用另一種眼光來看待。

　　既然程序運行如此隱蔽，單靠風扇和CPU占用率等判斷有些后知后覺，普通用戶也可以選擇一些自帶隔離器的瀏覽器，將惡意程序堵在門外。