Zatímco cena energie je kritikou číslo jedna proti horníkům kryptoměn dnes, další problém nastal na platformách cloud computingu v posledních měsících od některé skupiny horníků zneužívají bezplatné úrovně cloudových služeb pro těžbu kryptoměn.
Dříve citované při útočení a únosu neopravených serverů, různé služby Continuous Integration (CI) si nyní stěžují na tyto gangy, které zaregistrujte si bezplatné účty na své platformě, než přejdete na nové bezplatné účty až do limitu zkušebních období.
Ačkoli kryptoměny existují pouze v digitálním světě, v zákulisí probíhá obrovská fyzická operace zvaná „těžba“.
Gangy fungují registrací účtů na určitých platformách, Přihlášení k bezplatné vrstvě a spuštění aplikace pro těžbu kryptoměny na infrastruktuře bezplatné vrstvy poskytovatele. Jakmile zkušební období nebo kredity zdarma dosáhnou svého limitu, skupiny zaregistrují nový účet a začnou znovu prvním krokem, přičemž budou servery poskytovatele udržovány na horním limitu využití a zpomalí se normální provoz.
Seznam služeb, které byly zneužity tímto způsobem zahrnuje služby jako GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut a Okteto. Během posledních několika měsíců vývojáři sdíleli své vlastní příběhy o podobném zneužívání, které viděli na jiných platformách, a některé z těchto společností se přihlásily, aby sdílely podobné zkušenosti se zneužíváním.
Většina z k tomuto zneužití dochází ve společnostech, které poskytují služby nepřetržité integrace (CI). Kontinuální integrace je praxe automatizace integrace změn kódu od více přispěvatelů do jednoho softwarového projektu. Toto je přední postup DevOps, který umožňuje vývojářům často sloučit změny kódu do centrálního úložiště, kde se poté spouští sestavení a testy.
K ověření přesnosti nového kódu se používají automatické nástroje před jeho integrací. Systém řízení verzí zdrojového kódu je pro proces CI zásadní. Systém správy verzí je také doplněn dalšími kontrolami, jako jsou automatizované testy kvality kódu, nástroje pro kontrolu stylu syntaxe a další.
V praxi je cloud hostovaný CI dosažen vytvořením nového virtuálního stroje, který provádí proces sestavení, balení a testování a poté předá výsledek projektovému manažerovi.
Gangy pro těžbu kryptoměny si uvědomily, že mohou tento proces zneužít k přidání vlastního kódu a nechat tento virtuální stroj CI provádět operace těžby kryptoměny, aby útočníkovi před útokem vygenerovaly malé zisky. Vyprší omezená životnost virtuálního počítače a virtuální počítač je vypnut poskytovatelem cloudu.
Takto zneužily kryptoměnové těžební gangy funkci GitHub Akce, která uživatelům virtuální GitHub nabízí funkci virtuální infrastruktury, k těžbě webu a těžbě kryptoměny na vlastních serverech GitHubu.
GitHub a GitLab nejsou jedinými poskytovateli CI kteří čelili tomuto zneužívání. Microsoft Azure, LayerCI, Sourcehut, CodeShip a mnoho dalších platforem se podle této zprávy potýkaly s touto aktivitou.
Společnost, jako je GitLab, si díky své větší velikosti může stále dovolit udržovat svou nabídku bezplatných CI pro své uživatele hledáním jiných způsobů, jak zabránit zneužití kryptoměnami. Ale ostatní malí poskytovatelé IC nemohou. Minulé úterý ve svých rozhodnutích chránit své platící zákazníky, kteří zaznamenali zhoršení služeb, Sourcehut a TravisCI uvedli, že plánují přestat nabízet své bezplatné úrovně IQ kvůli pokračujícímu zneužívání.
Ale i když odvolání bezplatných nabídek pro poskytovatele služeb může být jedním ze způsobů, jak omezit zneužití, které vidí, není to optimální řešení pro osamělé vývojáře využívající tyto nabídky pro své open source projekty. Alternativním řešením, jak navrhuje Berrelleza, by bylo nasadit automatizované systémy, které tyto zneužití detekují a reagují na ně.. Vytvoření takových systémů však vyžaduje zdroje, které některé společnosti nemohou přidělit, ani nezaručuje, že tyto systémy fungují podle očekávání.