1. 链一财经首页
  2. 资讯

MakerBot的在线3D打印库Thingiverse受加密货币挖掘攻击

一月份对Thingiverse来说不太顺利,因为其最近受到一群匿名的加密货币矿工的恶意攻击。昨日早些时候,作为大型3D打印文件存储库和社区的母公司,MakerBot发布了头条新闻,并对攻击进行了详细的说明。

MakerBot代表表示:“加密货币热潮已经全面发挥作用,恶意的在线用户正在寻找易受攻击的页面来插入他们的加密挖掘脚本。”这可能听起来更像是科幻小说的东西,但打破丑闻是一个强有力的指标,表明我们对加密货币的焦虑可能确实有一些现实的基础。

但首先,对于那些还在提到“比特币”的人来说,让我们加快速度:正式分类为虚拟或数字货币,加密货币是一种分散的数字资产,作为交换媒介,并依靠密码学(安全通信技术)保护交易,控制额外单位的生产,并验证转移。一度被认为是过去的趋势,加密货币在过去几年中大受欢迎,带来了加密货币挖掘工的激增。

MakerBot的在线3D打印库Thingiverse受加密货币挖掘攻击

采矿是在现有流通中引入新硬币的过程,同时确保硬币在其网络上运行。承担这一过程的用户被称为“矿工”,但与20世纪的前辈不同,这些矿工做的不仅仅是挖黄金,可以这么说。加密货币矿工取代银行或其他中央监管机构,在其硬币网络的控制、安全和维护中发挥着不可或缺的作用。这就是加密挖掘脚本的来源:作为矿工提取价值的主要手段。由于MakerBot在他们的声明中列举了细节,“这些脚本在后台安静地加载和操作,窃取计算机的处理资源以便为第三方挖掘加密货币。”本质上是放置在网站上的一个独立的功能,挖掘脚本使用网站访问者的CPU。接下来,他们验证交易或“块”的集合,并且一旦块被验证,将被奖励额外的加密货币。

在Thingiverse的案例中,加密货币的矿工们锁定了该网站的评论部分,这个部分显然被认为是大规模在线社区的一个漏洞,因此成为秘密挖掘脚本的主要场所。正如昨天早些时候报道的那样,MakerBot在12月下旬发现了这个漏洞,随后发现恶意加密代码已被插入到约100条评论中。

在他们的声明中,Makerbot代表很快将威胁降至最低,并指出脚本从未访问过用户的私人数据。由于一旦用户访问嵌入了加密挖掘脚本的网站,挖掘过程就开始,因此不需要感染用户的计算机,挖掘所需要的只是浏览器启用了JavaScript。Thingiverse注释部分中的情况就是这样,通常用于嵌入建设性内容,但在这种情况下为“不良参与者”提供了一个插入挖掘脚本的平台。

基于此情况,Thingiverse的开发人员迅速采取了行动来消除这一攻击。Makerbot说:“他们发布了公告,并于最近部署了一个修补程序,可以防止恶意iframe嵌入到加密挖掘等内容中,但仍然允许在注释部分中嵌入视频和文档。

底线? Thingiverse将继续像以前一样运行,但用户界面没有明显的变化,尽管网站开发者已经发布了一个建议,即用户可以查看应用程序和浏览器插件,这些应用程序和浏览器插件主动阻止加密挖掘脚本加载。但有一件事是肯定的:作为2018年第一次重大网络攻击的受害者,Thingiverse和Makerbot对此极为重视。尽管如此,网站代表向用户保证,他们将“继续保护和教育用户,并以能够为整个3D打印社区管理如此重要的资源感到自豪”。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code