MakerBot的在線3D列印庫Thingiverse受加密貨幣挖掘攻擊

一月份對Thingiverse來說不太順利，因為其最近受到一群匿名的加密貨幣礦工的惡意攻擊。

昨日早些時候，作為大型3D列印文件存儲庫和社區的母公司，MakerBot發布了頭條新聞，並對攻擊進行了詳細的說明。

MakerBot代表表示：「加密貨幣熱潮已經全面發揮作用，惡意的在線用戶正在尋找易受攻擊的頁面來插入他們的加密挖掘腳本。

」這可能聽起來更像是科幻小說的東西，但打破醜聞是一個強有力的指標，表明我們對加密貨幣的焦慮可能確實有一些現實的基礎。

但首先，對於那些還在提到「比特幣」的人來說，讓我們加快速度：正式分類為虛擬或數字貨幣，加密貨幣是一種分散的數字資產，作為交換媒介，並依靠密碼學（安全通信技術）保護交易，控制額外單位的生產，並驗證轉移。

一度被認為是過去的趨勢，加密貨幣在過去幾年中大受歡迎，帶來了加密貨幣挖掘工的激增。

採礦是在現有流通中引入新硬幣的過程，同時確保硬幣在其網絡上運行。

承擔這一過程的用戶被稱為「礦工」，但與20世紀的前輩不同，這些礦工做的不僅僅是挖黃金，可以這麼說。

加密貨幣礦工取代銀行或其他中央監管機構，在其硬幣網絡的控制、安全和維護中發揮著不可或缺的作用。

這就是加密挖掘腳本的來源：作為礦工提取價值的主要手段。

由於MakerBot在他們的聲明中列舉了細節，「這些腳本在後台安靜地加載和操作，竊取計算機的處理資源以便為第三方挖掘加密貨幣。

」本質上是放置在網站上的一個獨立的功能，挖掘腳本使用網站訪問者的CPU。

接下來，他們驗證交易或「塊」的集合，並且一旦塊被驗證，將被獎勵額外的加密貨幣。

在Thingiverse的案例中，加密貨幣的礦工們鎖定了該網站的評論部分，這個部分顯然被認為是大規模在線社區的一個漏洞，因此成為秘密挖掘腳本的主要場所。

正如昨天早些時候報導的那樣，MakerBot在12月下旬發現了這個漏洞，隨後發現惡意加密代碼已被插入到約100條評論中。

在他們的聲明中，Makerbot代表很快將威脅降至最低，並指出腳本從未訪問過用戶的私人數據。

由於一旦用戶訪問嵌入了加密挖掘腳本的網站，挖掘過程就開始，因此不需要感染用戶的計算機，挖掘所需要的只是瀏覽器啟用了JavaScript。

Thingiverse注釋部分中的情況就是這樣，通常用於嵌入建設性內容，但在這種情況下為「不良參與者」提供了一個插入挖掘腳本的平台。

基於此情況，Thingiverse的開發人員迅速採取了行動來消除這一攻擊。

Makerbot說：「他們發布了公告，並於最近部署了一個修補程序，可以防止惡意iframe嵌入到加密挖掘等內容中，但仍然允許在注釋部分中嵌入視頻和文檔。

底線？ Thingiverse將繼續像以前一樣運行，但用戶介面沒有明顯的變化，儘管網站開發者已經發布了一個建議，即用戶可以查看應用程式和瀏覽器插件，這些應用程式和瀏覽器插件主動阻止加密挖掘腳本加載。

但有一件事是肯定的：作為2018年第一次重大網絡攻擊的受害者，Thingiverse和Makerbot對此極為重視。

儘管如此，網站代表向用戶保證，他們將「繼續保護和教育用戶，並以能夠為整個3D列印社區管理如此重要的資源感到自豪」。