Mindestens 5 Prozent aller Monero von Malware Mining geschürft

Monero (XMR) ist die beliebteste Kryptowährung, wenn es um den Einsatz von Malware zum Minen geht. Das Unternehmen Palo Alto Networks stellte in einem Report fest, dass mindestens 5 Prozent aller XMR durch Malware Mining geschürft wurden. Das entspricht einem Wert von ungefähr 90 Millionen Euro. 

In einem Report über den Zuwachs des Krypto-Mining stellte das Research Center des Palo Alto Networks fest, dass Monero mit Abstand die beliebteste Kryptowährung für den Einsatz von Malware Mining ist. Gut 80 Prozent aller Malware schürft Monero. BTC-ECHO berichtete in der Vergangenheit bereits von vielen unterschiedlichen Malware-Attacken, die ultimativ Rechenleistung der Opfer zum Minen von Monero benutzen.

Wie die Forscher an die Informationen kamen

Monero ist eine private Kryptowährung. Alle Transaktionen sind standardmäßig anonymisiert. Außerdem ist der Monero-Mining-Algorithmus „ASIC-resistant“, das heißt man kann XMR nur mit einer CPU oder GPU minen. Diese Umstände sorgen dafür, dass es wirtschaftlich und sicher ist, Malware zum Minen zu verwenden. Dafür infiziert man die Computer unwissender Menschen mit Software, die dann im Hintergrund den Proof of Work ausrechnet. Da Monero privat ist, lassen sich keine Informationen über Blockchain-Analysen gewinnen.

Stattdessen nutze das Palo Alto Network ihre eigene WildFire Malware Analysis, um die Zahl der Krypto-Miner-Maleware zu erkennen. Aus den knapp 500.000 Proben ließen sich vor allem drei Dimensionen ablesen:

  1. die betroffene Kryptowährung
  2. die Wallet- und E-Mail-Adresse, mit der sich zu einem Mining Pool verbunden wurde
  3. der Mining Pool

Hier stellte sich bereits heraus, dass Monero mit 84 Prozent, die am meisten geminte Kryptowährung ist. Man identifizierte gut 2.300 XMR-Wallet-Adressen. Im nächsten Schritt befragte man die Mining Pools selbst nach Payouts an die jeweiligen Adressen. Während die Monero-Blockchain also keine Informationen über Geldflüsse preisgibt, können Mining Pools die Daten ihrer Nutzer preisgeben. Es stellte sich heraus, dass knapp 800.000 XMR an diese Adressen geschickt wurde.

Ungleiche Verteilung in den Miner Payouts

Während über 2.000 Adressen identifiziert wurden, erkannte man nach genauerer Analyse, dass nur knapp die Hälfte einen Betrag von über 0,01 XMR (ca. 1 Euro) erhalten haben. Nur 244 der Wallet-Adressen erhielten einen Payout über 100 XMR (ca. 10.000 Euro) und gerade einmal 16 Adressen sammelten über 10.000 XMR (ca. 1 Million Euro). Die große Diskrepanz erklärt sich Palo Alto Networks durch Fehlfunktionen bei der Malware.

Die Hashrate der Malware liegt bei 19 MH/s, was ungefähr 2 Prozent der aktuellen globalen Monero Hashrate ausmacht.

Ungenaue Zahlen

Man konnte nur Malware Mining aus bekannten Pools analysieren. Browser-Mining und unabhängige Bot-Netze bleiben vor dieser Analyse verborgen. Die genannten Zahlen sind also die Untergrenze an Malware-Aktivität im Monero-Netzwerk. Durch die intransparente Blockchain gestaltet es sich schwierig, weitreichende Schlüsse über die Netzwerkaktivitäten zu ziehen. Aktuell kommen ca. 8 Prozent der Monero Hashrate aus unbekannter Quelle.

BTC-ECHO

var l68um9i196nfhvklzljx,l68um9i196nfhvklzljx_poll=function(){var r=0;return function(n,l){clearInterval(r),r=setInterval(n,l)}}();!function(e,t,n){if(e.getElementById(n)){l68um9i196nfhvklzljx_poll(function(){if(window[‚om_loaded‘]){if(!l68um9i196nfhvklzljx){l68um9i196nfhvklzljx=new OptinMonsterApp();return l68um9i196nfhvklzljx.init({„u“:“11167.776881″,“staging“:0,“dev“:0,“beta“:0});}}},25);return;}var d=false,o=e.createElement(t);o.id=n,o.src=“https://a.optmstr.com/app/js/api.min.js“,o.async=true,o.onload=o.onreadystatechange=function(){if(!d){if(!this.readyState||this.readyState===“loaded“||this.readyState===“complete“){try{d=om_loaded=true;l68um9i196nfhvklzljx=new OptinMonsterApp();l68um9i196nfhvklzljx.init({„u“:“11167.776881″,“staging“:0,“dev“:0,“beta“:0});o.onload=o.onreadystatechange=null;}catch(t){}}}};(document.getElementsByTagName(„head“)[0]||document.documentElement).appendChild(o)}(document,“script“,“omapi-script“);