Ehkki energiakulu on kaevurite vastu kriitika number üks krüptovaluutade kohta täna, Teine probleem on tekkinud pilvandmetöötluse platvormidel viimastel kuudel, alates mõned kaevurite rühmad kuritarvitavad tasuta taset pilveteenuste platvormidest krüptorahade kaevandamiseks.
Varem viidatud pakkimata serverite ründamisele ja kaaperdamisele kurdavad erinevad pideva integreerimise (CI) teenused nüüd nende jõugude üle, mis registreerige oma platvormil tasuta kontod enne uutele tasuta kontodele liikumist kuni prooviperioodide piirini.
Kuigi krüptorahad eksisteerivad ainult digitaalses maailmas, toimub kulisside taga hiiglaslik füüsiline operatsioon nimega "kaevandamine".
Jõugud registreerivad teatud platvormidel kontosid, Registreerumine tasuta tasemele ja krüptoraha kaevandamise rakenduse käitamine pakkuja tasuta taseme infrastruktuuris. Kui prooviperioodid või tasuta krediidid on jõudnud oma piirini, registreerivad rühmad uue konto ja alustavad uuesti esimest sammu, hoides teenusepakkuja servereid ülemise kasutuspiiri piires ja pidurdades tavapäraseid toiminguid.
Sel viisil kuritarvitatud teenuste loetelu sisaldab selliseid teenuseid nagu GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut ja Okteto. Viimase paari kuu jooksul on arendajad jaganud oma lugusid sarnastest väärkohtlemistest, mida nad on näinud teistel platvormidel, ja mõned neist ettevõtetest on tulnud jagama sarnaseid väärkohtlemise kogemusi.
Enamik neist seda väärkasutust esineb ettevõtetes, mis pakuvad pidevat integreerimisteenust (CI). Pidev integreerimine on tava automatiseerida mitme kaasautori koodimuudatuste integreerimine ühte tarkvaraprojekti. See on DevOpsi juhtiv tava, mis võimaldab arendajatel koodimuudatused sageli koondada kesksesse hoidlasse, kus seejärel ehitatakse ja testitakse.
Uue koodi õigsuse kontrollimiseks kasutatakse automatiseeritud tööriistu enne selle integreerimist. Lähtekoodi versiooni juhtimissüsteem on CI-protsessi jaoks kriitilise tähtsusega. Versioonijuhtimissüsteemi täiendavad ka muud kontrollid, näiteks automatiseeritud koodikvaliteedi testid, süntaksistiili kontrollimise tööriistad ja palju muud.
Praktikas saavutatakse pilves hostitud CI uue virtuaalse masina loomisega, mis täidab ehitamis-, pakettimis- ja testimisprotsessi ning edastab tulemuse seejärel projektijuhile.
Krüptoraha kaevandamise jõukud mõistsid, et nad võivad seda koodi kuritarvitada, et oma kood lisada ja lasta sellel CI virtuaalsel masinal krüptoraha kaevandamistoiminguid teha, et ründajale enne rünnakut väike kasum teenida. VM-i piiratud eluiga aegub ja pilvepakkuja sulgeb VM-i.
Nii kuritarvitasid krüptoraha kaevandamise jõukud GitHubi kasutajatele virtuaalse infrastruktuuri funktsiooni pakkuva funktsiooni GitHub Actions, et saidi kaevandada ja krüptot kaevandada GitHubi enda serveritega.
GitHub ja GitLab pole ainsad CI pakkujad kes on selle väärkohtlemisega silmitsi seisnud. Aruande kohaselt on selle tegevusega võidelnud Microsoft Azure, LayerCI, Sourcehut, CodeShip ja paljud teised platvormid.
GitLabi-sugune ettevõte võib oma suurema suuruse tõttu siiski endale lubada oma kasutajate jaoks tasuta CI-de pakkumise leidmist, leides muid võimalusi krüptokaevurite väärkasutuse vältimiseks. Kuid teised väikesed IC pakkujad seda ei saa. Eelmisel teisipäeval teatasid Sourcehut ja TravisCI oma otsustes kaitsta oma maksvaid kliente, kes nägid teenuste halvenemist, jätkuva väärkohtlemise tõttu lõpetada oma tasuta IQ tasemete pakkumine.
Kuid teenusepakkujatele tasuta tasemepakkumiste tagasivõtmine võib olla üks võimalus nende poolt väärkohtlemise piiramiseks, kuid see pole optimaalne lahendus üksikutele arendajatele, kes kasutavad neid pakkumisi oma avatud lähtekoodiga projektide jaoks. Alternatiivne lahendus, nagu pakkus välja Berrelleza, oleks automatiseeritud süsteemide juurutamine, mis tuvastavad need rikkumised ja reageerivad neile.. Selliste süsteemide loomine nõuab aga ressursse, mida mõned ettevõtted ei saa eraldada, ega taga, et need süsteemid toimiksid ootuspäraselt.