Iako su troškovi energije kritika broj jedan na račun rudara kriptovaluta danas, drugi problem se pojavio u platformama za računarstvo u oblaku poslednjih meseci, od neke grupe rudara zloupotrebljavaju besplatne nivoe platformi usluga u oblaku za vađenje kripto valuta.
Ranije citirani u napadima i otmicama neupravljenih servera, razne usluge kontinuirane integracije (CI) sada se žale na ove bande, koje registrirajte besplatne račune na svojoj platformi prije prelaska na nove besplatne račune do ograničenja probnog razdoblja
Iako kriptovalute postoje samo u digitalnom svijetu, iza kulisa se odvija gigantska fizička operacija nazvana "rudarstvo".
Bande djeluju tako što registriraju račune na određenim platformama, Prijavljivanje za besplatni nivo i pokretanje aplikacije za rudarstvo kriptovaluta na besplatnoj infrastrukturi provajdera. Jednom kada probna razdoblja ili besplatni krediti dosegnu svoj limit, grupe registriraju novi račun i započinju prvi korak, održavajući poslužitelje dobavljača na gornjoj granici upotrebe i usporavajući normalno poslovanje.
Spisak usluga koje su zloupotrebljene na ovaj način uključuje usluge poput GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut i Okteto. U posljednjih nekoliko mjeseci programeri su podijelili vlastite priče o sličnom zlostavljanju koje su vidjeli na drugim platformama, a neke od ovih kompanija javile su se da podijele slična iskustva sa zlostavljanjem.
Većina do ove zloupotrebe dolazi u kompanijama koje pružaju usluge kontinuirane integracije (CI). Neprekidna integracija je praksa automatizacije integracije promjena koda od više saradnika u jedan softverski projekt. Ovo je vodeća praksa DevOps-a, omogućavajući programerima da često spajaju promjene koda u centralno spremište gdje se zatim izvode gradnje i testovi.
Za provjeru točnosti novog koda koriste se automatizirani alati prije njegove integracije. Sistem kontrole verzije izvornog koda je presudan za proces CI. Sustav kontrole verzija dopunjen je i drugim provjerama, kao što su automatizirani testovi kvalitete koda, alati za provjeru stila sintakse i još mnogo toga.
U praksi se CI hostovan u oblaku postiže stvaranjem nove virtualne mašine koja izvodi postupak izrade, pakovanja i testiranja, a zatim prenosi rezultat upravitelju projekta.
Bande rudarstva kriptovaluta shvatile su da mogu zloupotrijebiti ovaj postupak da bi dodale vlastiti kôd i postavile ovu CI virtualnu mašinu da izvodi operacije rudarstva kripto valute kako bi generisala malu zaradu napadaču prije napada. Ograničeni životni vijek VM ističe i dobavljač oblaka ga isključuje.
Na ovaj način su bande za rudarenje kriptovaluta zloupotrijebile značajku GitHub's Actions, koja nudi mogućnost virtualne infrastrukture korisnicima GitHub-a, kako bi minirale web mjesto i iskopavale kripto s vlastitim GitHub-ovim serverima.
GitHub i GitLab nisu jedini CI dobavljači koji su se suočili sa ovom zloupotrebom. Prema ovom izvještaju, Microsoft Azure, LayerCI, Sourcehut, CodeShip i mnoge druge platforme borili su se s ovom aktivnošću.
Tvrtka poput GitLab, zbog svoje veće veličine, još uvijek može priuštiti da zadrži svoju ponudu besplatnih CI-a za svoje korisnike pronalaženjem drugih načina za sprečavanje zloupotrebe od strane kripto rudara. Ali drugi mali dobavljači IC-a to ne mogu. Prošlog utorka, u svojim odlukama da zaštite svoje korisnike koji plaćaju, a koji su vidjeli degradaciju usluge, Sourcehut i TravisCI rekli su da planiraju prestati nuditi svoj besplatni nivo inteligencije zbog stalnog zlostavljanja.
No, iako je opoziv besplatnih ponuda za pružatelje usluga možda jedan od načina da ograniče zloupotrebu koju vide, to nije optimalno rješenje za usamljene programere koji koriste ove ponude za svoje projekte otvorenog koda. Alternativno rješenje, kako je predložio Berrelleza, bilo bi postavljanje automatiziranih sistema koji otkrivaju i reagiraju na ove zloupotrebe.. Međutim, stvaranje takvih sistema zahtijeva resurse koje neke kompanije ne mogu dodijeliti niti garantira da ti sistemi rade kako se očekuje.