في حين أن تكلفة الطاقة هي النقد الأول لعمال المناجم من العملات المشفرة اليوم ، ظهرت مشكلة أخرى في منصات الحوسبة السحابية في الأشهر الأخيرة منذ ذلك الحين بعض مجموعات عمال المناجم تسيء استخدام المستويات المجانية منصات الخدمات السحابية لتعدين العملات المشفرة.
تم الاستشهاد به سابقًا في مهاجمة الخوادم غير المصححة واختطافها ، وتشكو العديد من خدمات التكامل المستمر (CI) الآن من هذه العصابات ، والتي قم بتسجيل حسابات مجانية على نظامهم الأساسي قبل الانتقال إلى حسابات مجانية جديدة حتى الحد الأقصى للفترات التجريبية.
على الرغم من وجود العملات المشفرة في العالم الرقمي فقط ، إلا أن هناك عملية فيزيائية ضخمة تسمى "التعدين" تحدث خلف الكواليس.
تعمل العصابات من خلال تسجيل حسابات على منصات معينة ، التسجيل للحصول على مستوى مجاني وتشغيل تطبيق تعدين للعملات المشفرة على البنية التحتية المجانية للمزود. بمجرد وصول الفترات التجريبية أو الائتمانات المجانية إلى الحد الأقصى ، تسجل المجموعات حسابًا جديدًا وتبدأ الخطوة الأولى مرة أخرى ، مما يبقي خوادم المزود عند حد الاستخدام الأعلى ويبطئ العمليات العادية.
قائمة الخدمات التي تم إساءة استخدامها بهذه الطريقة يتضمن خدمات مثل GitHub و GitLab و Microsoft Azure و TravisCI و LayerCI و CircleCI و Render و CloudBees CodeShip و Sourcehut و Okteto. على مدار الأشهر القليلة الماضية ، شارك المطورون قصصهم الخاصة عن إساءة استخدام مماثلة شاهدوها على منصات أخرى ، وتقدمت بعض هذه الشركات لمشاركة تجارب مماثلة من الإساءة.
أكثر من يحدث سوء الاستخدام هذا في الشركات التي تقدم خدمات التكامل المستمر (CI). التكامل المستمر هو ممارسة أتمتة دمج تغييرات التعليمات البرمجية من مساهمين متعددين في مشروع برمجي واحد. هذه إحدى ممارسات DevOps الرائدة ، حيث تسمح للمطورين بدمج تغييرات التعليمات البرمجية بشكل متكرر في مستودع مركزي حيث يتم تشغيل البنيات والاختبارات.
يتم استخدام الأدوات الآلية للتحقق من دقة الرمز الجديد قبل اندماجها. يعد نظام التحكم في إصدار التعليمات البرمجية المصدر أمرًا بالغ الأهمية لعملية CI. يتم أيضًا استكمال نظام التحكم في الإصدار بفحوصات أخرى ، مثل اختبارات جودة التعليمات البرمجية الآلية وأدوات التحقق من نمط بناء الجملة والمزيد.
من الناحية العملية ، يتم تحقيق CI المستضاف على السحابة من خلال إنشاء جهاز افتراضي جديد يقوم بتنفيذ عملية الإنشاء والحزمة والاختبار ، ثم يقوم بترحيل النتيجة إلى مدير المشروع.
أدركت عصابات تعدين العملات المشفرة أنها يمكن أن تسيء استخدام هذه العملية لإضافة التعليمات البرمجية الخاصة بها وجعل هذا الجهاز الظاهري CI يقوم بعمليات تعدين للعملات المشفرة لتوليد أرباح صغيرة للمهاجم قبل الهجوم. ينتهي العمر الافتراضي المحدود لـ VM ويتم إيقاف تشغيل الجهاز الظاهري بواسطة موفر السحابة.
هذه هي الطريقة التي أساءت بها عصابات التنقيب عن العملات المشفرة استخدام ميزة إجراءات GitHub ، والتي توفر ميزة البنية التحتية الافتراضية لمستخدمي GitHub ، لتعدين الموقع وتعدين التشفير باستخدام خوادم GitHub الخاصة.
GitHub و GitLab ليسا مقدمي CI الوحيدين الذين واجهوا هذه الإساءات. وفقًا للتقرير ، واجهت Microsoft Azure و LayerCI و Sourcehut و CodeShip والعديد من الأنظمة الأساسية الأخرى هذا النشاط.
لا تزال شركة مثل GitLab ، نظرًا لحجمها الأكبر ، قادرة على الحفاظ على عرضها لمستخدميها من CIs مجانًا من خلال إيجاد طرق أخرى لمنع سوء الاستخدام من قبل عمال المناجم المشفرة. لكن مقدمي خدمات IC صغيرة أخرى لا يمكنهم ذلك. قال Sourcehut و TravisCI يوم الثلاثاء الماضي ، في قراراتهما لحماية عملائهم الذين يدفعون الثمن والذين رأوا تدهورًا في الخدمة ، إنهما يخططان للتوقف عن تقديم مستويات الذكاء المجانية الخاصة بهما بسبب سوء المعاملة المستمرة.
ولكن في حين أن إلغاء عروض المستوى المجانية لمقدمي الخدمات قد يكون إحدى الطرق للحد من إساءة الاستخدام التي يرونها ، إلا أنها ليست الحل الأمثل للمطورين الوحيدين الذين يستخدمون هذه العروض لمشاريعهم مفتوحة المصدر. يتمثل الحل البديل ، على النحو الذي اقترحه بيريليزا ، في نشر أنظمة مؤتمتة تكشف عن هذه الانتهاكات وتستجيب لها.. ومع ذلك ، فإن إنشاء مثل هذه الأنظمة يتطلب موارد لا تستطيع بعض الشركات تخصيصها ، ولا يضمن عمل هذه الأنظمة كما هو متوقع.