DB15T 3472-2024虚拟货币“挖矿”鉴定技术指南

15Virtualcurrency"mining"identificationtechnicalguideI1本文件规定了虚拟货币“挖矿”鉴定实施流程，提出线索分析、现场检查、“挖矿”信息关联分析等环节的技术指南。本文件适用于内蒙古自治区行政区域内利用计算机相关设备开展涉及虚拟货币“挖矿”的活动。2规范性引用文件本文件没有规范性引用文件。3术语和定义GB/T42570、GB/T42572、ISO22739界定的以及下列术语和定义适用于本文件。使用密码技术链接将共识确认过的区块按顺序追加形成的分布式帐本。具有特定功能的可独立运行的区块链组件。从事虚拟货币“挖矿”活动的计算机及相关设备。虚拟货币“挖矿”活动virtualcurrencyminingactivities通过“矿机”计算生产虚拟货币的过程。用于虚拟货币“挖矿”活动的分布式记账技术(DistributedLedgerTechnology)节点。[来源：ISO22739:20240,3.48]2矿池miningpool多个矿工通过网络，共享计算能力的资源池。用于生成、管理、存储或使用私钥和公钥的应用程序。[来源：ISO22739:20240,3.84]4缩略语下列缩略语适用于本文件。CPU:微处理器(CentralProcessingUnit)GPU:图形处理器(GraphicsProcessingUnit)ASIC:应用特定集成电路(Application-SpecificIntegratedCircuit)CDN:内容分发网络(ContentDeliveryNetwork)FPGA:现场可编程门阵列(FieldProgrammableGateArray)5虚拟货币“挖矿”分类5.1CPU“挖矿”:指使用计算机CPU进行虚拟货币“挖矿”。5.2GPU“挖矿”:指使用显卡进行虚拟货币“挖矿”。5.3ASIC“挖矿”:指使用专门为“挖矿”设计的硬件芯片，即“应用特定集成电路”,来进行虚拟货币“挖矿”。5.4硬盘存储“挖矿”:指文件币(Filecoin)开创的一种“挖矿”模式，拥有硬盘存储空间即可“挖矿”。5.5CDN“挖矿”:指通过提供网络边缘计算资源，利用网络传输带宽进行“挖矿”。5.6FPGA“挖矿”:指使用FPGA芯片进行加密货币“挖矿”。FPGA芯片可通过编程实现对“挖矿”算法的定制化处理，继而进行虚拟货币“挖矿”。5.7云“挖矿”:指使用第三方的计算机资源来进行“挖矿”,而不是使用“挖矿”者自己的计算机6虚拟货币“挖矿”鉴定实施流程6.1虚拟货币“挖矿”鉴定实施流程图虚拟货币“挖矿”鉴定实施流程图如图1所示。3量一量一“挖矿”线索受理的虚拟货币“挖矿的主体线索根据已掌握的线索信息，依据本标准提出的虚拟货币“挖矿”人员、查看涉事电子邮箱等方式，收集“挖装或正在运行常用“挖矿”软件“挖矿”工具、聊天记录等数据是否存在云“挖矿”土述4个条件是否均不成立分析研判掌握的信息进行关联，研判属于主动“挖矿”还是被动“挖矿”出具研判报告，反馈研判结果46.2线索分析6.2.1监测发现的虚拟货币“挖矿”线索分析研判对IP地址、IP地址疑似物理位置和使用单位、矿池IP及端口、矿工端口及时间点案例、币种、软件型号、提交次数等信息进行综合分析，研判信息真实性，若核实后确定存在或疑似存在“挖矿”行为，则开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报告，反馈研判结果。6.2.2第三方服务提供的虚拟货币“挖矿”线索分析研判对参与“挖矿”的用户身份信息、“挖矿”收益信息、矿机IP及其所属物理位置信息、“挖矿”时间等信息进行综合分析，研判信息真实性，若核实后确定存在或疑似存在“挖矿”行为，则开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报告，反馈研判结果。6.2.3受理的虚拟货币“挖矿”信访举报线索分析研判型号等信息进行综合分析研判，若核实后确定存在或疑似存在“挖矿”行为，则开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报告，反馈研判结果。6.2.4电力能耗监测数据异常的主体线索分析研判对主体用电量数据与同期、近期用电量数据进行综合分析研判，若严重与正常用电量不符，则列为疑似存在“挖矿”行为，开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若与正常用电量基本相符，则出具研判报告，反馈研判结果。6.3现场检查6.3.1疑似虚拟货币“挖矿”设备外观分析研判依据本文件提出的虚拟货币“挖矿”种类，从外观查看(主要看设备型号)是否为专业虚拟货币“挖矿”设备。其中，常见的GPU“挖矿”设备大多数为无品牌的白壳机，内部装有多张显卡，也有部分商家在白壳机基础上贴牌，GPU“挖矿”主要使用显卡，一般从事大型GPU“挖矿”活动的主体将其伪装成服务器。常见的云“挖矿”可基于ASIC矿机、GPU矿机、CDN矿机等设备，只是所有权与云“挖矿”模式主要分为托管“挖矿”、虚拟托管“挖矿”和租用算力三种，因此对于此类“挖矿”行为可通过检查涉事计算机及相关设备是否包含常用“挖矿”软件等方式进行研判。虚拟货币“挖矿”常见设备详见附录A中的表A.1。6.3.2疑似虚拟货币“挖矿”主体的计算机及相关设备检查登录疑似存在“挖矿”行为的通用设备，搜索安装的软件是否包含常用“挖矿”软件。若存在虚拟货币“挖矿”软件，则进一步定位“挖矿”软件安装目录，分析其配置文件，提取其中的矿池域名、IP、端口，“挖矿”账户地址、矿机标识等信息并留存上述信息。6.3.3疑似虚拟货币“挖矿”设备网络流量检测研判5矿”成功、虚拟货币交易等内容，并留存上述矿”设备存在虚拟货币“挖矿”行为；若设备不存在上述信息，则未检出虚拟货币“挖矿”行为。判断云端服务是否属于矿池或者矿池代理，“挖矿”信息关联分析6本文件所指虚拟货币“挖矿”常见设备可参考表A.1，虚拟货币“挖12345671(蚂蚁矿池):252stratum+tcp://cn.ssstratum+tcp://:443 stratum+tcp://:25stratum+tcp://:1800stratum+tcp://:443 stratum+tcp://:253(国池)stratum+tcp://jp-stratum.4(鱼池)bigminer.io(一站式“云管理”挖矿平台)5 (莱比特矿池)bak.btc.top:33338表A.2虚拟货币“挖矿”主流矿池地址及端口统计表(续)6stratum+tcp://btc.viabtstratum+tcp://:3333stratum+tcp://:443stratum+tcp://:25stratum+tcp://:3333(主地址)stratum+tcp://stratum+tcp://:257(币网矿池)89(星火矿池):3333:13333FlyP:3333ethproxy+