賽門鐵克警告：小心！惡意採礦程式將在明年大爆發

資安業者賽門鐵克（Symantec）於本周警告，基於瀏覽器的加密貨幣採礦程式在今年死灰復燃，即使現在一般的廣告封鎖程式都能防堵目前最知名的Coinhive的採礦程式，但明年可望有更多類似Coinhive的惡意採礦程式現身。

Coinhive是在今年9月發表了基於瀏覽器的採礦服務，它將採礦功能打包成JavaScript程式，網站業者只要登入該服務，並於網站上嵌入JavaScript程式碼，即可利用造訪者的CPU資源開採門羅幣（Monero，XMR），Coinhive再依照每個網站所貢獻的資源分配門羅幣，被網站業者視為是個取代廣告的好收入。

事實上，透過瀏覽器以開採造訪者電腦資源的作法最早可追溯到2011年的Bitcoin Plus，繼之為2013年的Tidbit專案，有鑑於當時的加密貨幣價值不高、流通性不足，而Tidbit則因非法存取使用者CPU資源而遭到調查與抨擊，再加上ASIC專業挖礦機的興起，最終埋沒了瀏覽器採礦服務。

然而，今非昔比，比特幣在2011年6月創下的高峰只有30美元，2013年全球加密貨幣的市值也只有15億美元，現在比特幣的價格為15,573美元，是當年的500倍，如雨後春筍般出現的上千種加密貨幣也讓全球加密貨幣市值突破1,660億美元，高漲的加密貨幣價格與聚沙成塔的效應讓奠基在瀏覽器與PC資源的採礦服務死灰復燃。

根據Coinhive的統計，該公司採礦池的哈希率（hash rate，採礦效能）在推出服務的一周內就從零成長到13.5 MH/s，於9月20日增加到260 MH/s，短短不到3周的時間，便佔了門羅幣整體採礦效能的5%，而今年門羅幣的價值也從13美元竄升到400美元。

儘管Coinhive建議採用該公司採礦服務的網站業者應明白向使用者揭露採礦意圖，然而，絕大多數的網站都秘密行使了該功能，從海盜灣（The Pirate Bay）、Chrome擴充程式SafeBrowse、Android程式，到其他數百個網站。提供WordPress網站安全外掛程式的 Wordfence亦於本周警告，駭客正透過暴力破解法，以每小時攻擊19萬個WordPress網站的速度，企圖於被駭網站上嵌入門羅幣採礦程式。

賽門鐵克指出，Coinhive並未獨享基於瀏覽器的採礦市場，隨著加密貨幣利益的增加，如Crypto Loot與JSEcoin等各種新興的採礦者及採礦工具亦隨之出爐，此外，相較去年只有26款Android程式暗藏採礦工具，今年已增加到35款，成長了34%，因而預期明年將出現惡意採礦程式的大爆發。