כורי הקריפטו מנצלים כעת שירותי פלטפורמת ענן בחינם

Darkcrizt

4 דקות

אמנם עלות האנרגיה היא הביקורת הראשונה נגד כורים של מטבעות קריפטוגרפיים היום, בעיה נוספת התעוררה בפלטפורמות מחשוב ענן בחודשים האחרונים מאז חלק מקבוצות הכורים מתעללות ברמות חופשיות של פלטפורמות שירותי ענן למכרות מטבעות קריפטוגרפיים.

בעבר צוטטו בתקיפה ובחטיפת שרתים שלא הוצגו, שירותי שילוב מתמשך (CI) מתלוננים כעת על כנופיות אלה, אשר רשום חשבונות בחינם בפלטפורמה שלהם לפני שעבר לחשבונות חינמיים חדשים עד לתקופת הניסיון.

למרות שמטבעות קריפטוגרפיים קיימים רק בעולם הדיגיטלי, מתרחשת מאחורי הקלעים פעולה פיזית ענקית המכונה "כרייה".

כנופיות פועלות באמצעות רישום חשבונות בפלטפורמות מסוימות, הרשמה לשכבה חופשית והפעלת יישום כריית מטבעות קריפטוגרפיים בתשתית השכבה החופשית של הספק. לאחר שתקופות ניסיון או זיכויים בחינם הגיעו למגבלה, קבוצות רושמות חשבון חדש ומתחילות בשלב ראשון שוב, תוך שמירה על שרתי הספק במגבלת השימוש העליונה שלהן ומאטה את הפעילות הרגילה.

רשימת השירותים שעברו שימוש לרעה בדרך זו כולל שירותים כמו GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut ו- Okteto. במהלך החודשים האחרונים שיתפו המפתחים סיפורים משלהם על התעללות דומה שראו בפלטפורמות אחרות, וחלק מהחברות הללו התייצבו לחלוק חוויות דומות של התעללות.

רוב שימוש לרעה זה מתרחש בחברות המספקות שירותי אינטגרציה רציפה (CI). שילוב מתמשך הוא הנוהג לאוטומציה של שילוב שינויי קוד ממספר תורמים לפרויקט תוכנה יחיד. זהו נוהג מוביל של DevOps, המאפשר למפתחים למזג לעתים קרובות שינויי קוד למאגר מרכזי שבו מתבצעות בנייה ובדיקות.

משתמשים בכלים אוטומטיים לאימות הדיוק של הקוד החדש לפני שילובו. מערכת בקרת גרסאות קוד קוד הינה קריטית לתהליך ה- CI. מערכת בקרת הגרסאות משלימה גם בדיקות אחרות, כמו בדיקות איכות קוד אוטומטיות, כלי בדיקת סגנון תחביר ועוד.

בפועל, CI המתארח בענן מושג על ידי יצירת מכונה וירטואלית חדשה המבצעת את תהליך הבנייה, החבילה והבדיקה, ואז מעבירה את התוצאה למנהל פרויקט.

כנופיות כריית מטבעות קריפטוגרפיות הבינו שהן יכולות לעשות שימוש לרעה בתהליך זה כדי להוסיף קוד משלהן ולגרום למכונה הווירטואלית הזו של CI לבצע פעולות כריית מטבעות קריפטו כדי לייצר רווחים קטנים לתוקף לפני ההתקפה. תוחלת החיים המוגבלת של ה- VM תפוגת ה- VM ונסגר על ידי ספק הענן.

כך התעללו כנופיות כריית מטבעות קריפטוגרפיים בתכונה GitHub Actions, המציעה תכונת תשתית וירטואלית למשתמשי GitHub, בכריית האתר ובמכרות קריפטו באמצעות השרתים של GitHub.

GitHub ו- GitLab אינם ספקי ה- CI היחידים שהתמודדו עם התעללות זו. על פי הדיווח, Microsoft Azure, LayerCI, Sourcehut, CodeShip, ופלטפורמות רבות אחרות נאבקו בפעילות זו.

חברה כמו GitLab, בשל גודלה הגדול יותר, עדיין יכולה להרשות לעצמה לשמור על הצעתם של CIs בחינם למשתמשים שלה על ידי מציאת דרכים אחרות למנוע שימוש לרעה על ידי כורי הצפנה. אבל ספקי IC קטנים אחרים לא יכולים. ביום שלישי שעבר, בהחלטותיהם להגן על לקוחותיהם המשלמים שראו השפלה בשירות, אמרו Sourcehut ו- TravisCI כי הם מתכננים להפסיק להציע את שכבות ה- IQ החינמיות שלהם בגלל התעללות מתמשכת.

אך בעוד שביטול הצעות שכבה בחינם לנותני שירותים עשוי להיות אחת הדרכים להגביל את ההתעללות שהם רואים, זה לא הפיתרון האופטימלי עבור מפתחים בודדים המשתמשים בהצעות אלה לפרויקטים של קוד פתוח שלהם. פיתרון אלטרנטיבי, כפי שהציעה ברלזה, יהיה פריסת מערכות אוטומטיות המאתרות את התגובות הללו ומגיבות עליהן.. עם זאת, יצירת מערכות כאלה דורשת משאבים שחלק מהחברות אינן יכולות להקצות, ואינה מבטיחה כי מערכות אלו יפעלו כמצופה.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.