業內通常認爲2017年是挖礦攻擊大肆興起的一年。在2017年以前，訪問者也可能會利用網站流量挖掘加密貨幣。不過挖礦成爲主流甚至升級爲劫持攻擊，則是在2017年挖礦服務網站Coinhive出現之後的事。

Coinhive是一種加密貨幣挖礦服務，靠的是一小段嵌入網站的代碼。這段代碼借用訪問網站的瀏覽器的部分或全部計算能力，將瀏覽器列到一個競價系統中，用於挖掘Monero加密貨幣。很多攻擊者利用Coinhive的服務，將很多被入侵的站點和路由器變成了礦機，進行非法挖礦服務。不過，這一過程雖然瘋狂蔓延，但持續時間不長。隨着加密貨幣熱度減退，Coinhive的業務也持續下滑並在今年三月份關閉。此後，很多Web挖礦活動也都受到影響。本文是Malwarebytes實驗室在Coinhive關閉之後針對Web挖礦情況的分析結果。

目前仍然能檢測到數千個Coinhive相關域名的屏蔽請求，一週內平均每天大約有50,000個屏蔽需求。

具體分析來看，儘管Coinhive已經關閉，但仍有大量網站和路由器尚未清除挖礦代碼，相關的Coinhive庫依然存在。不過客戶端和服務器之間收發數據的必要WebSocket無法連接到服務器，導致挖礦無法成功。

不過，研究人員訪問海盜灣等最早涉足瀏覽器挖礦的種子網站時，發現CPU的最大使用率仍然高達100%。其中，挖礦的API由Coinhive的競爭對手CyptoLoot提供。雖然當時的活躍度遠不及2017-2018年之間的水平，但研究人員每天也會檢測並阻止100多萬次發往CryptoLoot的請求。另外，類似的挖礦服務網站還有CoinIMP，其目標主要是文件分享網站。

另外，基於路由器的挖礦劫持也仍在持續。如果將挖礦代碼注入路由器並感染其他連接到路由器的設備，挖礦者就能將整個挖礦流程產業化，利用特定網站之外的渠道獲取高額利潤。目前挖礦路由器的數量雖然有所減少，但還有大量載有舊Coinhive代碼的路由器，而且有些還感染了新的挖礦代碼（WebMinePool）。

Coinhive關閉之後造成的最大變化，就是在野挖礦攻擊活動的減少。2018年春季，Drupal網站遭遇大量攻擊，原因之一就是挖礦。而現在，很多網站被入侵的類型則包括瀏覽屏蔽、虛假更新、惡意廣告等。

從特徵方面分析，加密貨幣挖礦與當年的淘金熱有類似之處，都曾轟轟烈烈卻又在短時間內走向“銷聲匿跡”。不過，用“銷聲匿跡”來描述當下的挖礦攻擊似乎不太妥當，畢竟只要加密貨幣還有利可圖，網絡犯罪分子就不會輕易放棄。

長遠看來，挖礦可能會繼續存在，流量大的網站更可能遭遇攻擊。加密貨幣市場的波動直接影響到挖礦攻擊。如果加密貨幣市場再次回溫，挖礦者們將毫不猶豫再次活躍，謀取利潤。

相關文章