多家安全公司近期将加密货币挖矿服务Coinhive定为Web消费者最大的 挟制，这归咎于 使用Coinhive的代码的网站被黑客入侵，窃取了访客 设施的 解决 威力 。本文探讨Coinhive在推出不到一年后如何跃居 挟制排行榜第一，并探究关于这个服务背后 参加者的身份线索 。

Coinhive是一种加密货币挖矿服务，靠的是一小段嵌入网站的代码 。该代码借用 拜访网站的阅读器的 部分或所有计算 威力，将该机器列到一个竞价系统中，用于 开掘Monero加密货币 。

Monero与比特币的不同之处在于，交易是不可追溯的，外部人 无奈追踪双方中间的Monero交易 。自然，这种 特点使得Monero关于网络犯罪分子特殊有吸引力 。

Coinhive上一年夏天公布了它的挖矿代码， 声称站长们不需求投放侵入性、 讨厌的广告也 可以 获得收入 。但后来Coinhive的代码已成为多家安全公司追踪的 头等 歹意软件 。这是由于大 部分状况下代码都安装在被黑的网站上，所有者不知情也未授权 。

就像被 歹意软件或特洛伊木马 感化一样，Coinhive的代码 时常会锁定消费者的阅读器，并耗尽 设施的电池， 惟独 拜访者阅读网站，它就会全程 开掘Monero 。

目前有近32,000个网站运行Coinhive的JavaScript矿机代码 。很难说其中有多少网站故意安装了这些代码，近几个月来黑客已经 机密地将代码嵌入到了一些十分 风行的网站上，包括“洛杉矶时报”官网、移动 设施创造商Blackberry、Politifact 和Showtime 。

而且代码还在一些意想不到的地方浮现 。12月，Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热潮的所有网页中 。1月的大概一周 工夫里，Coinhive被发现 潜藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(通过Google的DoubleClick平台) 。2月，Coinhive在Textalp提供的“Browsealoud”上被发现，该服务为视障人士 诵读网页 。除了一些美国和加拿大政府网站之外，该服务还在英国许多政府网站得到 宽泛 使用 。

Coinhive会从中得到什么？无论网站是不是允许运行它，Coinhive都会从网站 获得的Monero加密货币抽成30％ 。该代码与一个特殊的密钥绑定，密钥标识哪个消费者帐户会收到另外70％的收入 。

Coinhive确实 承受投诉，但它通常只回应被黑网站主人的投诉(对大 部分第三方提出的投诉不予 搭理) 。更 蹩脚的是，当Coinhive对投诉作出回应时，它只不过让秘钥失效而已 。

但据安全专家Troy Mursch说，他花众多 工夫跟踪Coinhive和 其余“密码劫持” 申请，解绑密钥并不会阻挠Coinhive的代码 接续在黑客 突击的网站上 开掘Monero 。一旦密钥失效， 开掘的加密货币会100％归Coinhive所有 。

Mursch说，Coinhive 仿佛毫无动力监控滥用代码的行为 。

他们'终止'一个密钥时，只不过禁用了平台上的消费者，不会阻挠 歹意JavaScript运行，这只不过 象征着关联的Coinhive消费者不会得到酬劳 。代码向来在运行，而Coinhive 获得了所有的收入 。 兴许他们对此无能为力，或者他们不想 。但 惟独代码 依旧在黑客 突击的网站上，它向来在赚钱 。

关于这种显而易见的利益 有关，Coinhive的回应很官方， 声称正在 奋力 修改 。

“我们在 假如网站密钥是不可转变的前提下开发了Coinhive，”Coinhive回复道 。“消费者 无奈删除站点密钥 。这极大地简化了最初的开发 。我们 可以在WebSocket服务器上缓存站点密钥，而不是从每个新客户端的数据库再一次加载它们 。我们正在探究一种机制将密钥的失效告知WebSocket服务器 。”

Coinhive通过公布新版本“AuthedMine”来回应这种批判，该代码旨在运行Monero 开掘脚本之前先征求网站 拜访者的授权 。Coinhive号称 使用其平台的挖矿 运动中约35％来自 使用AuthedMine的网站 。

但依据2月份由安全公司Malwarebytes公布的报告，与不需求网站访客允许的挖矿代码相比，AuthedMine代码“ 几乎没人 使用” 。Malwarebytes的病毒警报数据显示， 波及Coinhive的挖矿代码的所有案例中，AuthedMine的 使用率略高于百分之一 。

插图：以上统计数据显示1月10日至2月7日期间天天Malwarebytes阻挠AuthedMine和Coinhive的衔接次数 。

当被要求评论Malwarebytes的 考查 后果时，Coinhive 答复说，假如 使用AuthedMine的人 绝对较少，这可能是由于像Malwarebytes这样的反 歹意软件公司已经让人们无利可图 。

“他们认为可供 取舍的版本是 挟制并阻挠它，”Coinhive说 。 “没有人会 使用AuthedMine，由于它被杀毒软件阻挠了？ 假如杀毒软件认为“挖矿不好”，那么采矿便是不好的 。”

同样，源代码跟踪站点publicwww.com的数据显示，大概32,000个站点正在运行原始Coinhive挖矿脚本，而该站点列出的运行AuthedMine的站点仅有1,200个 。

依据Coinhive网站的原先的一份申明，Coinhive诞生于德语图像托管和论坛pr0gramm.com的一项 试验 。

确实，pr0gramm.com上的多个 探讨主题显示，Coinhive的代码在2017年7月的第三周首次浮现 。当时 试验被称为“pr0miner”，而且这些线索表明负责pr0miner的核心程序员 使用 pr0gramm上的昵称“int13h” 。Coinhive证实“当时大 部分工作都是由int13h 实现的，他 依旧在我们的团队中 。”

当被要求解释为何与pr0gramm关系那段申明被删除， Coinhive说是为了图 便捷：

“pr0gramm由几个好朋友 发动，我们过去曾协助他们 实现 根底设施和各种 名目 。 他们让我们用pr0gramm作为挖矿的试验台，并让我们用他们的名字来 获得更多的背书 。关于小白来说，公布一个新平台很 困苦 。后来我们小有名气，就不再需求这个申明 。”

在被要求 澄清其申明中提到的“平台”(“我们是自筹资金而且在过去11年向来运行这个平台”)时，Coinhive 答复说：“对不起，没有写得更清晰：'这个平台'确实是pr0gramm“ 。

兴许 可以通过确定pr0gramm论坛治理员的身份来找出谁在运行Coinhive 。假如他们不是同一批人，那么pr0gramm治理员 确定会晓得Coinhive背后的人是谁 。

试图找出谁在运行pr0gramm并不方便，但最终所有信息都在网上找到了 。

收集的所有数据 起源于域名注册网站WHOIS，或者来自各种社交媒体网络 上pr0gramm治理员自己公布的信息 。换句话说，这项 考查中所有内容都是pr0gramm治理员自己放到网上的 。

从pr0gramm域名开始，像 其余许多与此 考查 有关的域名一样，最初是注册人是Matthias Moench博士 。 Moench先生只不过略有关联，很难说他是一个有罪的垃圾邮件发送者和凶手，本文最终一 部分解释了谁是Moench先生以及他为何会与这么多的域名所关联 。他 本身是个故意思而又很可怕的故事 。

pr0gramm最初与一家成人网站 有关联，该网站与两家十多年前在内华达州拉斯维加斯注册的公司有关系 。Eroxell Limited和Dustweb Inc这两家公司都 示意他们 参加了某种 模式的在线广告 。

Eroxell、Dustweb以及几个与pr0gramm 有关的网站(例如pr0mining.com，pr0mart.de，pr0shop.com)都与一个名叫Reinhard Fuerstberger的德国男子 有关，该男子的域名注册记录里有电子邮件地址admin @ pr0gramm.com 。 Eroxell和Dustweb也分别与一家在西班牙注册的名为Suntainment SL的公司有关系，Fuerstberger很显而易见是这家西班牙公司的所有者 。

正如pr0gramm网站上所述，论坛于2007年开始，作为德语留言板，源自于一个自动化的机器人，它 可以索引和显示被公布到Quake(广受 欢送的第一人称射击游戏) 有关的在线聊天频道的图片 。

随着论坛消费者群的增进，网站缓存图片的多样性也在增进，pr0gramm开始提供付费的所谓“pr0mium”帐户，允许消费者查看“办公室不宜”图片并在 探讨区发表评论 。当pr0gramm上一年7月首次推出pr0miner(Coinhive的前身)时，它邀请pr0gramm会员在他们自己的网站上试用这些代码，而且提供pr0mium积分作为 嘉奖 。

pr0gramm上的一个关于pr0miner的帖子，后来被称为Coinhive的前身 。

Pr0gramm于2007年底由来自德国的Quake 爱好者Dominic Szablewski 发动，他是一位电脑专家，在pr0gramm上以他的网名“cha0s”而闻名 。

在pr0gramm开始的时候，Szbalewski运行了一个名为chaosquake.de的Quake 探讨板，以及一个个人博客phoboslab.org 。发现这丝毫的缘由是phoboslab和pr0gramm曾共享过 雷同的Google Analytics跟踪代码(UA-571256) 。

Szablewski通过电子邮件 示意，他不想就这件事做评论，不过他提到几年前就将pr0gramm卖给了一个不 泄漏身份的人 。

多位pr0gramm老会员指出，由于cha0s作为治理员离开，该论坛已经 存在民粹主义极右政治 偏向 。Fuerstberger 先生在各种社交媒体网站上称自己是“政治上不正确的巴伐利亚 拆散主义者” 。更主要的是，pr0gramm上有大量 充斥 怨尤情绪的针对某些的种族或宗教 集团的帖子 。

Fuerstberger回复电子邮件说，他不晓得pr0gramm被用来散发Coinhive 。

“我 可以向你 保障，我在本周早些时候才第一次据说Coinhive，”他说 。 “我 保障Suntainment公司与它无关 。我与Pr0gram也没有任何关系 。这是我的合作 搭档干的 。当发现我的公司被利用时，我感到十分震惊 。”

下面是“思维导图”，用于跟踪本 考查中提到的各种名字、电子邮件和网站中间的关系 。

用于跟踪和梳理对pr0gramm和Coinhive的 考查，这张思维导图是用Mindnode Pro for Mac 缔造的 。

通过 查问WHOIS上关于pr0gramm (Eroxell Ltd) 有关联的美国公司，Fuerstberger的合作 搭档，目前是pr0gramm治理员的身份，他的昵称叫“Gamb” 。在Eroxell注册的许多域名中，有一个是deimoslab .com，它在曾经是一个销售电子产品的网站 。从2010年的网站副本 可以看出，deimoslab的所有者也 使用了Gamb这个昵称 。Deimos和Phobos是火星这两颗卫星的名字 。他们还提到电脑游戏“Doom”中的第四和第五级别的名称 。另外，它们是在游戏Quake 2中两艘宇宙飞船的名称 。

2010年Deimoslab.com截图( 感激archive.org)显示消费者“Gamb” 主持该网站 。

在pr0gramm.com长 工夫 使用的Internet地址上进行DNS 查问，deimoslab.com曾与 其余几个域共享服务器，其中包括phpeditor.de 。依据对phpeditor.de的历史WHOIS 查问，该域名最初由德国Gross-Gerau的Andre Krumb注册 。

当发现这种关系时， 依旧找不到任何Krumb关联到“gamb”的信息，这是pr0gramm目前治理员的昵称 。直到在网上搜索包括“ “Gamb”的论坛帐户 。

Krumb强调一些令人 无奈相信的 事件：Coinhive只不过一个人的 成就，那个人叫int13h 。

“Coinhive与Suntainment或Suntainment的 永远雇员毫无关系，”Krumb在一封电子邮件中说， 回绝 泄漏有关int13h的任何信息 。 “这也不是你正在寻觅的人，只不过一个有时候为Suntainment工作的 自由职业者 。”

在收到Fuerstberger先生和Krumb先生的电子邮件回复后，很快就收到了Coinhive的电子邮件 。

“一些 参加pr0gramm的人 联络了我们，说他们正在被你勒索，”Coinhive写道 。 “他们 盼望匿名运行pr0gramm，由于治理员和版主以往都曾被别人骚扰 。我相信你应该与此 有关 。你将他们推到绝境，这固然正是你想要的 动机 。我们只能欣赏你搜索信息的效率，但我们认为这样做的策略是可疑的 。”

“我们想再次说清晰，Coinhive目前的状态与pr0gramm或其所有者无关，”Coinhive说 。“我们在pr0gramm上测试了矿机的'玩具 施行'，由于他们的社区对这样的 事件 比较宽容 。 仅此而已 。”

3月22日，Coinhive的人又发来一封跟进的电子邮件，他们 征询了法律团队，决定在他们的网站上增加一些 联络信息 。

Coinhive于3月22日在其网站上提供的“法律信息” 。

此外，coinhive.com / legal这个网页上列出了德国Kaiserlautern的一家名为Badges2Go UG的公司 。业务记录显示Badges2Go是一家有限责任公司，于2017年4月成立，由法兰克福的Sylvia Klein治理 。Klein的LinkedIn简介显示，她是德国几个组织的首席执行官，其中一个叫做Blockchain Future 。

“我成立了Badges2Go，孵化有进展前景的网页端和移动 利用，”Klein说 。 “Coinhive便是其中之一 。 现在我们在评估 后劲并修复后续规划，使服务更为专业化 。”

基于上面思维导图中分享的网站注册数据，还有一件佚事需求分享 。如前所述，读者 可以看到许多与pr0gramm论坛治理员关联的域名最初是注册给名为Dr. Matthias Moench的 。

于2018年1月首次开始这项 考查时， 认为Moench先生是用来掩人耳 目标假名 。 但事实是，Moench博士确实是一个真正的人，而且是一个十分可怕的人 。

据德国日报“Die Welt”2014年的一篇令人心寒的报导，Moench是德国一个富有的企业家的儿子，他在1988年19岁时因雇一名土耳其男子谋杀他的父母而被定罪 。Die Welt说： Moench雇用的凶手用一把砍刀去砍死父母和宠物狮子狗 。据报导，后来Moench解释了他的行为，称他很不 庆幸他的父母为他的18岁生日给他买了一辆二手车，而不是他向来想要的法拉利 。

1989年的Matthias Moench博士，图片来自Welt.de

Moench博士最终被定罪并 背离在青少年 扣留所关押九年，但他只服刑五年 。 开释后，Moench 声称他找到了宗教并 盼望成为一名牧师 。

但是后来，Moench抛弃了当牧师的想法，决定成为垃圾邮件发送者 。多年来，他向来在群发 医治勃起 性能 妨碍药物的垃圾邮件，据报导他的各种垃圾邮件生意至少赚取了2150万欧元 。

Moench先生再次被捕并 承受审判 。2015年，他和 其余几名一起 原告被判有欺诈和与毒品有关的罪名 。Moench被判处六年有期徒刑 。依据Moench童年时代Die Welt故事的作者Lars-Marten Nagel的说法，德国检察官估计Moench将在今年晚些时候从监狱 开释 。

将pr0gramm治理员与Moench先生 联络起来可能很有吸引力，但这里 几乎没有任何 联络 。来自2006年的一篇令人难以 相信的 详尽博客文章试图确定Matthias Moench的身份，他被称为这么多域名的原始注册人(他们的数量在数以万计)，他发现Moench本人在几个互联网论坛上 示意，他的姓名和在德国和捷克邮寄地址 可以被任何想要 潜藏自己身份的垃圾邮件发送者或骗子 自由 使用 。显然，众多人都 承受了他的 好心 。

在这个报导公布后不久，phoboslab.org，pr0gramm.com的 独创人Dominic Szablewski的个人博客公布了更新 。Szablewski 声称负责启动Coinhive 。至于现在谁在运行它，是这样的：

“2007年我为自己的小圈子开发了一个 方便的图像 探讨版，便是pr0gramm 。多年来，这个 探讨版已经进展壮大 。当2015年的一些巨头找出来谁是pr0gramm的 经营者，我收到了各种死亡 挟制 。 我决定退出并 销售pr0gramm 。我 依旧在幕后 发展pr0gramm工作，并不时协助解决技术问题，但 彻底抛弃了操纵权 。”

“2007年我为自己的小圈子开发了一个 方便的图像 探讨版，便是pr0gramm 。多年来，这个 探讨版已经进展壮大 。当2015年的一些恶人找出来谁是pr0gramm的 经营者，我收到了各种死亡 挟制 。 我决定退出并 销售pr0gramm 。我 依旧在幕后 发展pr0gramm工作，并不时协助解决技术问题，但抛弃了操纵权 。”

“几个月后，我启动了Coinhive，并很快意识到我 无奈 径自做到这丝毫 。所以我寻觅一个 可以接管的人 。”

“我找到一家公司对成立新公司有兴趣 。他们已经接管了Coinhive，现在正在进行彻底的改革 。”