加密劫持的定义

加密劫持（Cryptojacking）是什么意思？

加密劫持是偷偷占用设备挖矿。

它指攻击者未经许可占用你的电脑、手机或云服务器的算力，用来挖加密货币并把收益转到自己的地址。常见入口包括网页里隐藏的脚本、伪装成正常软件的恶意程序、以及云环境的弱配置或泄漏的密钥。

“矿池”是把很多人的算力集中到同一服务器，按贡献分配收益的方式；加密劫持通常会把受害者的算力接入攻击者指定的矿池，以提高隐蔽性。

为什么要了解加密劫持？

它既伤设备也伤钱包和云成本。

对于个人，电脑会变卡、风扇猛转、耗电快、手机发热，硬件寿命缩短。对于企业与项目方，云主机CPU被拉满导致业务变慢，云账单突然激增，甚至被滥用的API资源影响其他系统。

在Web3场景里，加密劫持往往与账户安全相伴：攻击者会顺手窃取浏览器里的助记词或Cookie，后续再尝试盗取资产。这让一桩“耗算力”的问题，升级为“资产风险”的问题。

加密劫持是怎么运作的？

入口通常有三条路径。

第一条是网页脚本。攻击者在网页注入挖矿脚本或WebAssembly代码，你打开页面时浏览器CPU飙升。脚本会把算力提交到矿池，收益转到攻击者的钱包地址。

第二条是恶意程序。它伪装成驱动、破解软件或浏览器扩展，安装后下载矿工程序（常见如XMRig），并设置系统自启动，长期占用算力同时隐藏进程名称。

第三条是云与容器。攻击者扫描到暴露的SSH、Docker守护进程或Kubernetes弱口令，进入后部署矿工镜像，关闭监控，甚至改资源配额以持续挖矿。

许多加密劫持会选择挖“门罗币（Monero）”，因为它适合CPU挖、交易隐私强，能提高隐蔽性；但也可能挖其他可用CPU/GPU的币种。

加密劫持在加密世界里通常有哪些表现？

表现集中在浏览、交易、节点与云资源使用场景。

在DApp或NFT相关网页，钓鱼站点会注入挖矿脚本。你一边看页面，一边实际在给攻击者“打工”，浏览器任务管理器里CPU占用异常就是信号。

在交易所场景，以Gate为例，如果设备被劫持，打开行情或社区页面时可能出现CPU异常飙升、风扇暴转。更糟的是，恶意扩展可能同步窃取会话信息，后续尝试登录或调用API。

在节点与云主机，运行全节点或后端服务的服务器一旦配置疏漏，攻击者会迅速拉起矿工容器，占满核心，导致区块同步或撮合延迟，业务体验受损。

如何降低加密劫持？

先从个人设备做起。

第一步：更新系统与浏览器，卸载不必要的扩展。扩展只保留必须且可信的，遇到“免费加速”“免费看VIP”的扩展一律警惕。

第二步：查看CPU占用。Windows任务管理器、macOS活动监视器都能看到异常进程；浏览器标签页若一打开就CPU拉满，立即关闭并清理缓存与扩展。

第三步：安装安全工具。选择能拦截挖矿脚本的广告屏蔽/安全扩展，并开启本地防病毒或EDR，阻止常见矿工程序与自启动项。

再看云与容器环境。

第一步：收敛暴露面。关闭公网Docker守护进程，SSH改端口并启用密钥登录；为Kubernetes启用RBAC与网络策略，限制Pod外联。

第二步：设配额与告警。为命名空间与节点设CPU/内存配额与上限，配置“CPU长时间超过阈值”的告警，把异常定位到具体Pod或容器。

第三步：镜像与密钥管理。只用可信镜像，启用镜像扫描；云密钥存放在密钥管理服务，不把访问密钥写进环境变量或代码仓库。

最后是交易所账户安全（以Gate为例）。

第一步：开启两步验证与登录保护。检查“安全中心”的登录设备列表，及时移除陌生设备。

第二步：管理API密钥。只在必要时创建，设定最小权限与IP白名单，定期轮换；关闭不再使用的密钥。

第三步：提现与风控设置。开启提现地址白名单与大额提醒，发现异常登录或API调用，立即冻结账户并联系客服。

加密劫持最近有哪些趋势或数据值得关注？

近一年到2025年末，云与容器成为重灾区。

多家安全厂商的季度报告显示，浏览器脚本挖矿占比继续下降，云与容器环境相关告警占比提升，不少样本把Kubernetes作为首选入口。作为背景，2023年曾出现加密劫持拦截量的数倍增长，进入2024年与2025年总体仍处高位但更偏向云侧。

在企业成本层面，2025年Q3的多起公开案例显示，单次事件导致云账单异常常见区间为数千到数万美元；告警里“CPU长时间100%”“异常外联到矿池域名”是高频信号。

币种与技术上，Monero因CPU友好与隐私特性仍常被选用；样本更偏向使用容器化部署与自动化脚本，减少人工痕迹。防护技术也在跟进，资源配额、网络出口策略与镜像扫描的采用率在2025年持续提高。

加密劫持和勒索软件有什么区别？

目标不同、表现不同、处置优先级也不同。

加密劫持的目标是持续占用算力赚钱，强调隐蔽与长期运行；勒索软件的目标是加密你的文件后索要赎金，强调破坏与迅速变现。

在表现上，加密劫持常见CPU/GPU占用飙升、设备发热；勒索软件会让文件无法打开、出现赎金提示。在处置上，加密劫持优先定位并清除矿工与入口，同时修补配置与密钥；勒索软件则需隔离网络、恢复备份、评估数据泄露风险。

两者可能共享初始入侵手法（如弱口令、钓鱼邮件），所以基础安全（更新、最小权限、密钥管理）对两类威胁都有效。

相关术语

• 加密劫持：未经授权利用他人计算机资源进行加密货币挖矿的恶意行为。
• 恶意软件：用于执行加密劫持的病毒程序，通常通过钓鱼邮件或漏洞传播。
• 挖矿：通过计算能力验证交易并获得加密货币奖励的过程。
• 僵尸网络：被恶意软件控制的大量受感染设备组成的网络，用于集中挖矿。
• 工作量证明：通过解决数学难题来验证交易并保护区块链网络的共识机制。

FAQ

加密劫持会对我的钱包造成什么伤害？

加密劫持主要通过盗用你的计算机资源来挖矿，而非直接窃取资金，但长期运行会导致设备性能严重下降、电费暴增。更严重的是，劫持者可能趁机植入其他恶意软件，进一步威胁你的钱包安全和个人隐私。因此及时发现和清除加密劫持非常重要。

我怎样才能知道自己的设备被加密劫持了？

被劫持的设备通常会出现明显异常：CPU使用率长期处于高位、风扇噪音变大、设备发热、网络变慢、电池快速耗尽。你可以打开任务管理器检查是否有陌生进程占用大量资源，或者使用专业的安全软件进行扫描。如发现可疑进程，应立即终止并进行全面杀毒。

浏览器挖矿脚本和加密劫持是一回事吗？

两者都利用你的设备资源挖矿，但性质不同。浏览器挖矿脚本是网站明确（或隐秘地）嵌入的代码，关闭网页就停止；而加密劫持是未经授权的恶意软件，一旦感染会持续运行。关键区别在于：加密劫持具有隐蔽性和持久性，危害更大。

手机也会被加密劫持吗？

是的，手机同样容易被加密劫击，特别是下载了不可信应用或访问钓鱼网站时。安卓系统因开放性更容易中招。被感染后，手机会变热、耗电快、卡顿。防护方法包括：只从官方应用商店下载应用、定期更新系统、安装安全软件、警惕异常App权限申请。

如果我不小心点了钓鱼链接，应该立即采取哪些行动？

立即断开网络连接，防止恶意软件进一步下载或上传数据。然后重启设备进入安全模式，使用官方杀毒软件进行全面扫描。如果你在该设备上管理过加密资产，应尽快在安全设备上更改所有密码、检查账户异常活动。必要时可咨询专业的网络安全人员进行深度排查。