Ein Tag im Leben eines Pool-Betreibers
Oder wie ich zum „Botnet-Boss“ wurde
Eine wahre Geschichte über den Betrieb eines CPU-Mining-Pools, eine alarmierende E-Mail, das Absturz der halben Infrastruktur — und einen Tag damit verbringen, zu beweisen, dass man kein Krimineller ist.
Ich betreibe einen Mining-Pool für einen CPU-mining-fähigen Coin. Jemand hat ein Botnet darauf gerichtet. Mein Hosting-Anbieter kam zu dem Schluss, dass ich der Botnet-Betreiber bin, zog den Stecker meines Servers und ich verbrachte einen wunderschönen Tag mit E-Mails, Telefonanrufen und existenzieller Verzweiflung — alles nur, um zu beweisen, dass ich einfach ein Mann bin, der einen Mining-Pool betreibt. Die Wettervorhersage für Pool-Betreiber: unvorhersehbar, mit Aussicht auf Falschbeschuldigungen.
Akt I: Ein vollkommen normaler Dienstag
Stell dir das vor. Es ist ein normaler Arbeitstag. Ich sitze bei meinem Tageskram als IT-Ingenieur und mache IT-Ingenieur-Sachen. Konkret arbeitete ich an einem neuen Projekt — die Art von fokussierter Arbeit, bei der man drei Terminals offen hat, einen Doku-Tab, den man definitiv später lesen wird, und diesen besonderen Flow-Zustand, bei dem einfach alles klickt.
Im Hintergrund, wie immer, surren meine Mining-Pools vor sich hin. Die laufen seit über einem Jahrzehnt. Uptime Kuma ist auf ganzer Linie grün. Miner minen. Blöcke werden gefunden. Auszahlungen gehen raus. Die schöne, langweilige Routine einer gut gewarteten Infrastruktur.
Unter den Pools, die ich betreibe, ist einer für einen CPU-mining-fähigen Coin. Wer auch nur ein bisschen über CPU-mining-fähige Coins weiß, ahnt bereits, wo diese Geschichte hinführt. Wer nicht — schnall dich an.
CPU-mining-fähige Coins sind das „kostenloses WLAN“ des Kryptowährungsminings. Jeder Computer hat eine CPU. Jeder kompromittierte Computer hat eine CPU. Man sieht das Problem.
Akt II: Die E-Mail
Mitten in meinem Flow-Zustand vibriert mein Handy. Dann nochmal. Und nochmal. Ich schaue kurz drauf, erwarte vielleicht eine Slack-Benachrichtigung über ein Meeting, das ich ohnehin ignoriert hätte. Stattdessen sehe ich das:
An: mich, einen gesetzeskonformen Bürger
Betreff: Dienstkündigung — Botnet-C&C-Aktivität erkannt
Sehr geehrter Kunde,
Wir haben festgestellt, dass Ihr Server als Botnet-Command-and-Control-(C&C-)Server verwendet wird. Mehrere Meldungen deuten auf bösartigem Datenverkehr hin, der von Ihrer IP-Adresse ausgeht und mit Botnet-Koordinierungsaktivitäten übereinstimmt.
Ihr Dienst wurde mit sofortiger Wirkung gesperrt.
Mit freundlichen Grüßen,
Die Missbrauchsabteilung
Ich starrte fünf volle Sekunden auf mein Handy. Dann tat ich, was jede vernünftige Person getan hätte: Ich las es nochmal, um sicherzugehen, dass ich nicht halluziniere.
Ich halluzinierte nicht.
Mein Hosting-Anbieter hatte mich gerade als Botnet-Boss bezeichnet und meinen Server abgeschaltet.
Genau in dem Moment beschloss Uptime Kuma, sich ins Gespräch einzumischen. Mein Handy verwandelte sich in einen Weihnachtsbaum aus roten Benachrichtigungen. Der Frontend-Proxy — derjenige, der zwischen dem Internet und meiner eigentlichen Pool-Infrastruktur sitzt — lief auf diesem Server. Als sie also den Stecker zogen, haben sie nicht nur einen einzelnen Dienst abgeschaltet. Sie haben die Eingangstür zu meiner halben Operation abgeschaltet.
schönen Tag zu ruinieren
und Uptime-Kuma-Zusammenbruch
jetzt offline
Akt III: Was wirklich passiert ist
Erlaubt mir zu erklären, was wirklich los war — da mein Hosting-Anbieter offensichtlich nicht die Mühe gemacht hatte, das nachzuprüfen.
Ich betreibe einen Mining-Pool. Ein Mining-Pool ist ein Server, der Verbindungen von Minern akzeptiert. Miner verbinden sich über das Stratum-Protokoll, reichen Shares ein (Nachweis von Rechenarbeit) und werden proportional ausgezahlt, wenn der Pool einen Block findet. Das ist nichts Kontroverses. So funktioniert Kryptowährungs-Mining seit jeher, schon immer.
Jetzt zum interessanten Teil bei CPU-mining-fähigen Coins: Da man keine GPU oder einen ASIC braucht, kann jeder Computer minen. Einschließlich Computer, die der Person, die die Mining-Software darauf ausführt, nicht gehören.
Irgendein unternehmungslu stiger Zeitgenosse — nennen wir ihn „nicht mein Problem, aber plötzlich sehr wohl mein Problem“ — betrieb ein Botnet. Er hatte eine Menge Maschinen kompromittiert und Mining-Software auf allen installiert. Dann richtete er all diese Miner auf meinen Pool.
Von außen betrachtet sieht das aus wie Tausende von Verbindungen von verschiedenen IPs, die alle mit meinem Server kommunizieren. Für jemanden, der nicht weiß, was ein Mining-Pool ist, sieht dieses Muster genauso aus wie ein Botnet, das seine Befehle vom Command-and-Control-Server abruft.
Nur dass ich nicht derjenige bin, der das Botnet kontrolliert. Ich bin der Parkplatz, auf dem das Fluchtauto zufällig geparkt hat.
Der eigentliche Botnet-Betreiber ist irgendwo da draußen, trinkt wahrscheinlich Kaffee und beobachtet, wie seine Hashrate auf meinem Pool-Dashboard steigt. Während ich derjenige bin, dessen Server gerade aus dem Orbit beschossen wurde, weil die Missbrauchsabteilung eines Hosting-Anbieters „viele Verbindungen von verdächtigen IPs“ sah und direkt zu „dieser Typ betreibt ein kriminelles Unternehmen“ sprang.
Das ist, als würde man ein Parkhaus besitzen und jemand ruft die Polizei wegen einem, weil ein gestohlenes Auto im dritten Stock parkt. „Mein Herr, Sie betreiben offensichtlich einen Autodiebstahlring.“ Nein, ich betreibe ein Parkhaus. Leute parken hier. Ich kontrolliere keine Fahrzeugpapiere.
Akt IV: Die fünf Stufen des Unschuldsbeweises
Was folgte, war eine der langwierigsten Erfahrungen meines Lebens — und das sage ich als jemand, der einmal um 3 Uhr nachts eine Race Condition in einem Node.js-Stratum-Server debuggen musste. Wenigstens hat die Race Condition mein moralisches Ansehen nicht in Frage gestellt.
Stufe 1: Die Antwort-E-Mail
Ich schrieb eine sehr höfliche, sehr detaillierte E-Mail, in der ich erklärte, dass ich einen Kryptowährungs-Mining-Pool betreibe. Ich erklärte, was Stratum-Verbindungen sind. Ich erklärte, was CPU-Mining ist. Ich erklärte, warum viele verschiedene IPs, die sich mit einem Mining-Pool verbinden, nicht nur normal ist, sondern buchstäblich das gesamte Geschäftsmodell darstellt. Ich fügte Links, Diagramme und kaum verhohlene Verzweiflung hinzu.
Antwortzeit: Stunden der Stille.
Stufe 2: Die Folge-E-Mail
Da Stunden vergangen waren und meine Pools weiterhin Miner verloren (die verständlicherweise zu anderen Pools abwanderten, da sie mein Frontend nicht erreichen konnten), schickte ich eine Folge-E-Mail. Diese war etwas weniger geschliffen und etwas mehr im Sinne von „bitte, um alles in der Welt, schaut euch an, was ein Mining-Pool eigentlich ist.“
Stufe 3: Der Telefonanruf
Ich rief bei deren Support an. Ich wurde weitergeleitet. Dann nochmals weitergeleitet. Ich erklärte Mining-Pools drei verschiedenen Personen, von denen jede so schien, als würde sie zum ersten Mal von Kryptowährung hören. Einer fragte, ob Mining „so ähnlich wie Bitcoin“ sei. Ja. Ja, es ist wie Bitcoin. Das ist buchstäblich, was es ist. Kann ich bitte meinen Server zurückbekommen.
Stufe 4: Das Beweis-Paket
Sie wollten „Beweise“ dafür, dass ich einen legitimen Dienst betreibe. Also stellte ich ein Greatest-Hits-Album der Legalität zusammen: Screenshots der Pool-Website, öffentliche Blockchain-Aufzeichnungen, jahrelange Betriebshistorie, Registrierungsinformationen, die Listung meines Pools auf Mining-Aggregator-Seiten und einen herzlichen Brief, der nur knapp davor zurückblieb, meine Geburtsurkunde und ein Charakterzeugnis meiner Mutter beizulegen.
Stufe 5: Das Warten
Und dann wartete ich. Während mein Frontend ausgefallen war. Während Miner abwanderten. Während Uptime Kuma mir rote Warnmeldungen mit der Begeisterung eines Kleinkinds schickte, das die Hupe entdeckt hat. Ich saß da, aktualisierte meine E-Mails, hatte absolut nichts Falsches getan und wartete auf die Erlaubnis, den Dienst zu betreiben, den ich seit über einem Jahrzehnt betreibe.
Akt V: Die Wolken lichten sich (meistens)
Irgendwann — und mit „irgendwann“ meine ich nach genügend E-Mails, um eine Novelle zu füllen — räumte der Hosting-Anbieter ein, dass ich vielleicht, nur möglicherweise, kein kriminelles Botnet-Imperium von meinem gemieteten Server aus betrieb. Der Dienst wurde wiederhergestellt. Das Frontend kam wieder online. Das Uptime-Kuma-Dashboard wurde langsam wieder grün, eine Prüfung nach der anderen, wie ein Patient, der aus dem Koma erwacht.
Aber der Schaden war angerichtet. Miner, die stundenlang nicht verbunden waren, hatten sich bereits zu anderen Pools gewechselt. Einige kamen zurück. Andere nicht. Die Hashrate des Pools erlitt einen Einbruch, von dem es Tage dauerte, sich zu erholen. Und ich hatte einen ganzen Arbeitstag bei meinem eigentlichen Job verloren, weil „mein Hosting-Anbieter glaubt, ich bin ein Cyberkrimineller“ nicht etwas ist, was man auf ein Ticket schreiben und morgen erledigen kann.
Der Botnet-Betreiber? Noch immer da draußen. Nach wie vor nicht mein Problem. Außer, natürlich, dass es vollständig mein Problem war.
dass ich kein Krimineller bin
Weiterleitungen erforderlich
Gesetze (wie immer)
Das größere Bild: Das Leben als Pool-Betreiber
Manchmal fragen mich Leute, wie es ist, einen Mining-Pool zu betreiben. Ich glaube, sie erwarten, dass ich über Hashraten, Block-Belohnungen und die Optimierung der Stratum-Latenz rede. Und klar, das ist ein Teil davon. Aber die ehrliche Antwort lautet: es ist ein Wettersystem.
Manche Tage sind sonnig. Alles funktioniert. Blöcke kommen in stetigem Tempo. Miner sind glücklich. Niemand schreibt dir irgendwelche E-Mails. Man vergisst fast, dass man eine kritische Infrastruktur betreibt, von der Leute abhängen. Man kann sich auf neue Funktionen, Optimierungen und das Zeug konzentrieren, das das alles wirklich Spaß macht.
Dann, ohne jede Vorwarnung, fängt es an zu schütten. Ein Botnet richtet sich auf deinen Pool und dein Hosting-Anbieter erklärt dich zum Gesuchten. Oder jemand startet einen DDoS-Angriff, weil er gelangweilt ist, sauer ist oder einen konkurrierenden Pool mit fragwürdiger Ethik betreibt. Oder ein Coin-Daemon hat einen Konsens-Bug um 2 Uhr nachts und plötzlich ist man auf einer Fork, auf der sonst niemand ist. Oder eine Festplatte fällt aus. Oder ein Miner findet einen Block, aber die Einreichung bleibt wegen eines Netzwerkausreisers hängen und man verliert eine Blockbelohnung von 200 Dollar ins Nichts.
Und dann, irgendwann, hört der Regen auf. Die Sonne kommt wieder heraus. Aber es ist nie mehr ganz derselbe helle, wolkenlose Himmel wie zuvor. Es ist eher ein „na gut, was kommt als Nächstes“-Typ von bewölkt. Bedeckter Himmel. Man lernt, die guten Tage mehr zu schätzen, weil man weiß — mit absoluter Gewissheit — dass die nächste Überraschung bereits lädt.
Morgen: Alles ist grün. Das Leben ist wunderschön. Man überlegt, einen Blogpost darüber zu schreiben, wie reibungslos alles läuft.
Nachmittag: Man erhält eine E-Mail, die einem den Magen umdrehen lässt. Die halbe Infrastruktur steht in Flammen. Man erklärt einem Support-Mitarbeiter, was TCP-Ports sind.
Abend: Die Dinge sind größtenteils wieder online. Man ist zu müde, um erleichtert zu sein. Man starrt auf das Überwachungs-Dashboard und wartet auf das Nächste.
Wiederholen.
Was ich gelernt habe (abgesehen von Geduld)
Wenn es eine Erkenntnis aus diesem wunderbaren Erlebnis gibt, dann diese:
- Redundanz für den Frontend-/Proxy-Layer einbauen. Hätte ich das Frontend nicht auf einem einzelnen Server bei diesem Anbieter betrieben, wäre der Schaden viel geringer gewesen. Single Points of Failure sind in Ordnung, bis sie es nicht mehr sind — und sie hören auf, in Ordnung zu sein, genau dann, wenn es am schlimmsten passt.
- Dokumentation bereithalten. Eine vorgefertigte Erklärung „Wir sind ein legitimer Mining-Pool“ mit Belegen spart Zeit, wenn man jemandem, der einen für einen Kriminellen hält, seine Existenz erklären muss.
- Hosting-Anbieter auswählen, die verstehen, was man tut. Oder zumindest solche, die Fragen stellen, bevor sie den Stecker ziehen.
- Legal minen. Wer kompromittierte Maschinen auf einen Pool richtet, bricht nicht nur das Gesetz — er riskiert, den Pool für alle abzuschalten, die legal minen. Der Pool-Betreiber wird für die eigenen Handlungen bestraft. So ein Mensch sollte man nicht sein.
- Pool-Ausfälle können manchmal genau solche Ursachen haben. Es ist nicht immer ein technisches Versagen. Manchmal ist es ein menschliches — nur eben nicht auf der Seite des Pool-Betreibers.
Das Fazit
Einen Mining-Pool zu betreiben ist ein 24/7-Engagement, das weit über das Aktuellhalten von Software und das Laufenhalten von Servern hinausgeht. Es bedeutet, verfügbar zu sein, wenn die Dinge schiefgehen — auch wenn „schiefgehen“ bedeutet, sich gegen Anschuldigungen zu verteidigen, die lustig wären, wenn sie nicht gerade aktiv die eigene Betriebszeit zersören würden.
CPU-mining-fähige Coins ziehen Botnets an. Das ist kein Geheimnis, und es ist nicht die Schuld des Pools. Ein Pool kann nicht überprüfen, ob eine sich verbindende CPU der Person gehört, die Shares einreicht, oder jemandem auf der anderen Seite der Welt, dessen Maschine kompromittiert wurde. Den Pool zu beschuldigen ist, als würde man die Autobahn für ein rasendes Auto verantwortlich machen.
Der Tag eines Pool-Betreibers kann in der Zeit, die man braucht, um eine E-Mail zu lesen, von sonnig auf stürmisch umschlagen. Und das passiert meistens genau dann, wenn man gerade mit etwas anderem beschäftigt ist. Es gibt keinen „guten Zeitpunkt“, an dem der eigene Hosting-Anbieter einen des Cybercrime beschuldigt. Aber es gibt definitiv einen „noch schlechteren Zeitpunkt“ — und das ist offensichtlich immer dann, wenn es passiert.
Wenn du ein Miner bist, der das liest: Wisse, dass hinter jedem Mining-Pool eine Person (oder ein kleines Team) steckt, die sich mit genau diesem Chaos befasst, damit du einfach deinen Miner auf eine Stratum-Adresse richten und Auszahlungen einsammeln kannst. Wenn dein Pool einen Ausfall hat, warte vielleicht kurz, bevor du wechselst. Am anderen Ende könnte ein sehr müder Pool-Betreiber sein, der versucht, einen Support-Mitarbeiter davon zu überzeugen, dass Stratum-Verbindungen keine Cyberwaffe sind.
Verwandte Artikel
Mining-Pool-Sicherheit
Wie Mining-Pools sich und ihre Miner vor DDoS, Exploits und anderen Bedrohungen schützen.
Den richtigen Mining-Pool wählen
Wie man Mining-Pools nach Gebühren, Auszahlungsmodellen, Verfügbarkeit und Vertrauenswürdigkeit bewertet.
Pool-Solo-Mining vs. echtes Solo-Mining
Die Wahrheit über „Solo-Mining im Pool“ von einem Pool-Betreiber, der das seit 2013 macht.