Míg az energiaköltség az első számú kritika a bányászokkal szemben kriptovaluták ma, Egy másik probléma merült fel a felhőalapú számítástechnikai platformokon az elmúlt hónapokban, mivel a bányászok egyes csoportjai visszaélnek az ingyenes szintekkel felhő szolgáltatási platformok kriptovaluták bányászatára.
Korábban a nem javított szerverek megtámadásában és eltérítésében hivatkoztak a különféle folyamatos integrációs (CI) szolgáltatások most panaszkodni ezekre a bandákra, amelyek regisztráljon ingyenes fiókokat a platformján, mielőtt új ingyenes számlákra költözik, a próbaidőszakig.
Noha a kriptovaluták csak a digitális világban léteznek, a színfalak mögött egy "bányászatnak" nevezett gigantikus fizikai művelet zajlik.
A bandák úgy működnek, hogy számlákat regisztrálnak bizonyos platformokon, Regisztráció ingyenes szintre és kriptovaluta bányász alkalmazás futtatása a szolgáltató ingyenes szint infrastruktúráján. Amint a próbaidőszakok vagy az ingyenes kreditek elérik a határértéküket, a csoportok új fiókot regisztrálnak, és újrakezdik az első lépést, a szolgáltató szervereit a felső használati határértéknél tartva, és lelassítva a normál műveleteket.
Az ilyen módon visszaélt szolgáltatások listája olyan szolgáltatásokat tartalmaz, mint a GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut és Okteto. Az elmúlt hónapok során a fejlesztők megosztották saját történetüket hasonló visszaélésekről, amelyeket más platformokon láttak, és e vállalatok egy része előállt hasonló visszaélési tapasztalatok megosztására.
A legtöbb ez a visszaélés olyan vállalatoknál fordul elő, amelyek folyamatos integrációs szolgáltatásokat nyújtanak (CI). A folyamatos integráció az a gyakorlat, amikor automatizálják a több közreműködőtől származó kódváltozások egyetlen szoftverprojektbe történő integrációját. Ez a DevOps vezető gyakorlata, amely lehetővé teszi a fejlesztők számára, hogy gyakran egyesítsék a kódváltozásokat egy központi adattárba, ahol az építkezéseket és a teszteket futtatják.
Automatizált eszközökkel ellenőrizhető az új kód pontossága integrációja előtt. A forráskód verziókezelő rendszere kritikus a CI folyamat szempontjából. A verziókezelő rendszert egyéb ellenőrzések is kiegészítik, például automatizált kódminőségi tesztek, szintaxis stílusellenőrző eszközök és egyebek.
A gyakorlatban a felhőben tárolt CI úgy érhető el, hogy létrehoz egy új virtuális gépet, amely végrehajtja az összeépítési, csomagolási és tesztelési folyamatot, majd az eredményt továbbítja a projektmenedzsernek.
A kriptovaluta bányász bandák rájöttek, hogy visszaélhetnek ezzel a folyamattal saját kódjuk hozzáadásához, és ez a CI virtuális gép kriptovaluta bányászati műveleteket hajthat végre, hogy kicsi profitot termeljenek a támadó számára a támadás előtt. A virtuális gép korlátozott élettartama lejár, és a felhőszolgáltató leállítja a virtuális gépet.
A cryptocurrency bányász bandák így éltek vissza a GitHub Actions funkcióval, amely virtuális infrastruktúra-funkciót kínál a GitHub felhasználók számára, hogy bányásszák a webhelyet, és bányásszák a kriptot a GitHub saját szervereivel.
A GitHub és a GitLab nem az egyetlen CI szolgáltató akik szembesültek ezzel a visszaéléssel. A jelentés szerint a Microsoft Azure, a LayerCI, a Sourcehut, a CodeShip és sok más platform küzdött ezzel a tevékenységgel.
Egy olyan vállalat, mint a GitLab, nagyobb mérete miatt továbbra is megengedheti magának, hogy fenntartsa a felhasználók számára ingyenes CI-k kínálatát azzal, hogy más módszereket talál meg a kriptográfusok általi visszaélések megakadályozására. De más kis IC szolgáltatók nem. Múlt kedden a Sourcehut és a TravisCI a fizetési ügyfelek védelmében hozott döntéseikben, amelyek a szolgáltatás romlását tapasztalták, azt tervezik, hogy a folyamatos visszaélések miatt leállítják ingyenes IQ-szintjeik felajánlását.
De bár a szolgáltatók számára kínált ingyenes csomagajánlatok visszavonása módot kínálhat az általuk látott visszaélések korlátozására, ez nem az optimális megoldás a magányos fejlesztők számára, akik nyílt forráskódú projektjeikhez használják ezeket az ajánlatokat. Alternatív megoldás, amint azt Berrelleza javasolja, olyan automatizált rendszerek telepítése lenne, amelyek észlelik és reagálnak ezekre a visszaélésekre.. Az ilyen rendszerek létrehozásához azonban olyan erőforrásokra van szükség, amelyeket egyes vállalatok nem tudnak kiosztani, és nem garantálja, hogy ezek a rendszerek az elvárt módon működjenek.