Iako su troškovi energije kritika broj jedan protiv rudara kriptovaluta danas, još se jedan problem pojavio u platformama za računalstvo u oblaku posljednjih mjeseci, od neke skupine rudara zloupotrebljavaju besplatne razine platformi usluga u oblaku za vađenje kriptovaluta.
Ranije citirani u napadima i otmicama neupravljenih poslužitelja, razne usluge kontinuirane integracije (CI) sada se žale na ove bande, koje registrirajte besplatne račune na svojoj platformi prije prelaska na nove besplatne račune do ograničenja probnog razdoblja.
Iako kriptovalute postoje samo u digitalnom svijetu, iza kulisa se odvija gigantska fizička operacija nazvana "rudarstvo".
Bande djeluju registrirajući račune na određenim platformama, Registriranje za besplatni nivo i pokretanje aplikacije za rudarstvo kriptovaluta na besplatnoj infrastrukturi davatelja usluga. Kad probna razdoblja ili besplatni krediti dosegnu svoj limit, grupe registriraju novi račun i započinju prvi korak, zadržavajući poslužitelje davatelja usluga na gornjoj granici upotrebe i usporavajući normalno poslovanje.
Popis usluga koje su zlostavljane na ovaj način uključuje usluge poput GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut i Okteto. Tijekom posljednjih nekoliko mjeseci programeri su podijelili vlastite priče o sličnom zlostavljanju koje su vidjeli na drugim platformama, a neke od tih tvrtki javile su se da podijele slična iskustva sa zlostavljanjem.
Većina ta se zlouporaba događa u tvrtkama koje pružaju usluge kontinuirane integracije (CI). Neprekidna integracija praksa je automatizacije integracije promjena koda s više suradnika u jedan softverski projekt. Ovo je vodeća praksa DevOps-a, omogućavajući programerima da često spajaju promjene koda u središnje spremište gdje se zatim izvode gradnje i testovi.
Za provjeru točnosti novog koda koriste se automatizirani alati prije njegove integracije. Sustav kontrole verzije izvornog koda presudan je za CI postupak. Sustav kontrole verzija nadopunjuju i druge provjere, poput automatiziranih testova kvalitete koda, alata za provjeru stila sintakse i još mnogo toga.
U praksi se CI hostovan u oblaku postiže stvaranjem novog virtualnog stroja koji izvodi postupak izrade, pakiranja i testiranja, a zatim rezultate prenosi upravitelju projekta.
Bande rudarstva kriptovaluta shvatile su da bi mogle zloupotrijebiti ovaj postupak kako bi dodale vlastiti kôd i imale da ovaj virtualni stroj CI izvodi operacije miniranja kriptovaluta kako bi napadaču generirali malu zaradu prije napada. Ograničeni životni vijek VM-a istječe, a dobavljač oblaka ga isključuje.
Na ovaj su način bande rudarstva kriptovaluta zloupotrijebile značajku GitHub Actions, koja korisnicima virtualne infrastrukture nudi značajku virtualne infrastrukture, kako bi minirale web mjesto i iskopavale kripto s vlastitim GitHubovim poslužiteljima.
GitHub i GitLab nisu jedini pružatelji CI usluga koji su se suočili s tim zlostavljanjem. Prema ovom izvješću, Microsoft Azure, LayerCI, Sourcehut, CodeShip i mnoge druge platforme borili su se s ovom aktivnošću.
Tvrtka poput GitLaba, zbog svoje veće veličine, još uvijek može priuštiti da zadrži svoju ponudu besplatnih CI-a za svoje korisnike pronalaženjem drugih načina za sprečavanje zlouporabe kriptokopača. Ali drugi mali davatelji usluga IC-a to ne mogu. Prošlog utorka, u svojim odlukama da zaštite svoje korisnike koji plaćaju, a koji su vidjeli degradaciju usluge, Sourcehut i TravisCI rekli su da planiraju prestati nuditi svoje besplatne razine IQ-a zbog kontinuiranog zlostavljanja.
No, iako je opoziv besplatnih ponuda za pružatelje usluga možda jedan od načina ograničavanja zlouporabe koju vide, to nije optimalno rješenje za usamljene programere koji koriste ove ponude za svoje projekte otvorenog koda. Alternativno rješenje, kako je predložio Berrelleza, bilo bi postavljanje automatiziranih sustava koji otkrivaju i reagiraju na ove zlouporabe.. Međutim, stvaranje takvih sustava zahtijeva resurse koje neke tvrtke ne mogu dodijeliti niti jamči da ti sustavi rade kako se očekuje.