DB15/T 3472-2024 虚拟货币“挖矿”鉴定技术指南

ICS03.100.01

CCSA00

15

内蒙古自治区地方标准

DB15/T3472—2024

虚拟货币“挖矿”鉴定技术指南

Virtualcurrency"mining"identificationtechnicalguide

2024-06-14发布2024-07-14实施

内蒙古自治区市场监督管理局发布

DB15/T3472—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由内蒙古自治区发展和改革委员会提出并归口。

本文件起草单位：国家计算机网络与信息安全管理中心内蒙古分中心、内蒙古自治区发展和改革委

员会、内蒙古自治区大数据中心。

本文件主要起草人：柳海军、汪士钦、杨晓东、庞敏、杨佳楠、王艳、郭旭龙、乌宁、张宏强、张

蕾、张建军、石彦龙、崔连伟、周佳琪、李欢。

I

DB15/T3472—2024

虚拟货币“挖矿”鉴定技术指南

1范围

本文件规定了虚拟货币“挖矿”鉴定实施流程，提出线索分析、现场检查、“挖矿”信息关联分析

等环节的技术指南。

本文件适用于内蒙古自治区行政区域内利用计算机相关设备开展涉及虚拟货币“挖矿”的活动。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

GB/T42570、GB/T42572、ISO22739界定的以及下列术语和定义适用于本文件。

区块链blockchain

使用密码技术链接将共识确认过的区块按顺序追加形成的分布式帐本。

节点node

具有特定功能的可独立运行的区块链组件。

矿机miningmachine

从事虚拟货币“挖矿”活动的计算机及相关设备。

虚拟货币“挖矿”活动virtualcurrencyminingactivities

通过“矿机”计算生产虚拟货币的过程。

矿工miner

用于虚拟货币“挖矿”活动的分布式记账技术（DistributedLedgerTechnology）节点。

[来源：ISO22739:20240,3.48]

1

DB15/T3472—2024

矿池miningpool

多个矿工通过网络，共享计算能力的资源池。

钱包wallet

用于生成、管理、存储或使用私钥和公钥的应用程序。

[来源：ISO22739:20240，3.84]

4缩略语

下列缩略语适用于本文件。

CPU：微处理器(CentralProcessingUnit）

GPU：图形处理器(GraphicsProcessingUnit）

ASIC：应用特定集成电路（Application-SpecificIntegratedCircuit）

CDN：内容分发网络(ContentDeliveryNetwork)

FPGA：现场可编程门阵列(FieldProgrammableGateArray)

5虚拟货币“挖矿”分类

CPU“挖矿”：指使用计算机CPU进行虚拟货币“挖矿”。

GPU“挖矿”：指使用显卡进行虚拟货币“挖矿”。

ASIC“挖矿”：指使用专门为“挖矿”设计的硬件芯片，即“应用特定集成电路”，来进行虚拟

货币“挖矿”。

硬盘存储“挖矿”：指文件币（Filecoin）开创的一种“挖矿”模式，拥有硬盘存储空间即可“挖

矿”。

CDN“挖矿”：指通过提供网络边缘计算资源，利用网络传输带宽进行“挖矿”。

FPGA“挖矿”：指使用FPGA芯片进行加密货币“挖矿”。FPGA芯片可通过编程实现对“挖矿”算

法的定制化处理，继而进行虚拟货币“挖矿”。

云“挖矿”：指使用第三方的计算机资源来进行“挖矿”，而不是使用“挖矿”者自己的计算机

资源。

6虚拟货币“挖矿”鉴定实施流程

虚拟货币“挖矿”鉴定实施流程图

虚拟货币“挖矿”鉴定实施流程图如图1所示。

2

DB15/T3472—2024

图1虚拟货币“挖矿”鉴定实施流程图

3

DB15/T3472—2024

线索分析

6.2.1监测发现的虚拟货币“挖矿”线索分析研判

对IP地址、IP地址疑似物理位置和使用单位、矿池IP及端口、矿工端口及时间点案例、币种、

软件型号、提交次数等信息进行综合分析，研判信息真实性，若核实后确定存在或疑似存在“挖矿”行

为，则开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，

则出具研判报告，反馈研判结果。

6.2.2第三方服务提供的虚拟货币“挖矿”线索分析研判

对参与“挖矿”的用户身份信息、“挖矿”收益信息、矿机IP及其所属物理位置信息、“挖矿”

时间等信息进行综合分析，研判信息真实性，若核实后确定存在或疑似存在“挖矿”行为，则开展检查

前准备工作，确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报

告，反馈研判结果。

6.2.3受理的虚拟货币“挖矿”信访举报线索分析研判

对举报线索的真实性、“挖矿”主体、“挖矿”物理位置、“挖矿”方式、“挖矿”时间、币种、软件

型号等信息进行综合分析研判，若核实后确定存在或疑似存在“挖矿”行为，则开展检查前准备工作，

确定现场检查地点、范围、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报告，反馈研判

结果。

6.2.4电力能耗监测数据异常的主体线索分析研判

对主体用电量数据与同期、近期用电量数据进行综合分析研判，若严重与正常用电量不符，则列为

疑似存在“挖矿”行为，开展检查前准备工作，确定现场检查地点、范围、方式及团队等；若与正常用

电量基本相符，则出具研判报告，反馈研判结果。

现场检查

6.3.1疑似虚拟货币“挖矿”设备外观分析研判

依据本文件提出的虚拟货币“挖矿”种类，从外观查看（主要看设备型号）是否为专业虚拟货币“挖

矿”设备。其中，常见的GPU“挖矿”设备大多数为无品牌的白壳机，内部装有多张显卡，也有部分商

家在白壳机基础上贴牌，GPU“挖矿”主要使用显卡，一般从事大型GPU“挖矿”活动的主体将其伪装成

服务器。常见的云“挖矿”可基于ASIC矿机、GPU矿机、CDN矿机等设备，只是所有权与使用方式不同，

云“挖矿”模式主要分为托管“挖矿”、虚拟托管“挖矿”和租用算力三种，因此对于此类“挖矿”行

为可通过检查涉事计算机及相关设备是否包含常用“挖矿”软件等方式进行研判。

虚拟货币“挖矿”常见设备详见附录A中的表A.1。

6.3.2疑似虚拟货币“挖矿”主体的计算机及相关设备检查

登录疑似存在“挖矿”行为的通用设备，搜索安装的软件是否包含常用“挖矿”软件。若存在虚拟

货币“挖矿”软件，则进一步定位“挖矿”软件安装目录，分析其配置文件，提取其中的矿池域名、IP、

端口，“挖矿”账户地址、矿机标识等信息并留存上述信息。

注：常见虚拟货币“挖矿”软件有CGMiner、BFGMiner、EasyMiner、PhoenixMiner、Claymore'sDualEthereumMiner、

XMRig、Bitmain、InnosiliconMiner、CanaanCreative、CudoMiner、NiceHashMiner等。

6.3.3疑似虚拟货币“挖矿”设备网络流量检测研判

4

DB15/T3472—2024

对流经核心交换的部分网络流量进行检测。检测内容包含：获取“挖矿”任务、尝试“挖矿”、“挖

矿”成功、虚拟货币交易等内容，并留存上述信息。

对疑似虚拟货币“挖矿”设备系统进行检测，主要使用系统的搜索功能，搜索eth、btc等附录A

中的关键字，当发现文件中出现涉及虚拟货币“挖矿”的关键字时，查看文件中是否存在虚拟货币“挖

矿”脚本，通过脚本中记录的内容，提取其中记录的矿池地址、钱包地址、矿工名称等信息并形成记录。

在网络流量检测结果中，若设备存在矿池地址、钱包地址、矿工名称等信息，则确定该疑似虚拟货币“挖

矿”设备存在虚拟货币“挖矿”行为；若设备不存在上述信息，则未检出虚拟货币“挖矿”行为。

由于国内网络的限制，“挖矿”设备大多会配置代理地址或者转发地址，这些地址最终会连接对应

币种的矿池地址，通过对涉事设备网络流量追溯分析，如发现涉事设备与矿池地址存在交互行为，则可

判定相关设备存在“挖矿”行为。虚拟货币“挖矿”矿池地址及端口见附录A中的表A.2和表A.3。

判断云端服务是否属于矿池或者矿池代理，可利用矿池扫描探测软件，识别访问的远程IP、端口

是否属于矿池或矿池代理服务，如属于矿池或矿池代理服务，则进一步分析该服务的“挖矿”币种信息。

“挖矿”信息关联分析

通过对疑似虚拟货币“挖矿”线索、设备信息和外观、网络流量、软件等综合分析研判掌握的信息

进行关联，研判属于主动“挖矿”还是被动“挖矿”。同时，出具研判报告，反馈研判结果。

5

DB15/T3472—2024