Nors energijos kaina yra svarbiausia kritika prieš kalnakasius kriptovaliutų, dar viena problema iškilo debesų kompiuterijos platformose pastaraisiais mėnesiais, nes kai kurios kalnakasių grupės piktnaudžiauja nemokamu lygiu debesų paslaugų platformų kriptovaliutoms išgauti.
Anksčiau minimi puolant ir užgrobiant nepašalintus serverius, įvairios nuolatinės integracijos (PI) tarnybos dabar skundžiasi šiomis gaujomis, kurios užregistruokite nemokamas paskyras savo platformoje prieš pereidami prie naujų nemokamų paskyrų iki bandomųjų laikotarpių ribos
Nors kriptovaliutos egzistuoja tik skaitmeniniame pasaulyje, užkulisiuose vyksta gigantiška fizinė operacija, vadinama „kasyba“.
Gaujos veikia registruodamos sąskaitas tam tikrose platformose, Prisiregistravimas gauti nemokamą pakopą ir kriptovaliutų kasybos programos vykdymas teikėjo nemokamos pakopos infrastruktūroje. Kai bandomieji laikotarpiai arba nemokami kreditai pasieks savo limitą, grupės užregistruoja naują sąskaitą ir vėl pradeda pirmąjį žingsnį, laikydamosi tiekėjo serverių viršutinės naudojimo ribos ir sulėtindamos įprastą veiklą.
Paslaugų, kuriomis buvo piktnaudžiaujama, sąrašas apima tokias paslaugas kaip „GitHub“, „GitLab“, „Microsoft Azure“, „TravisCI“, „LayerCI“, „CircleCI“, „Render“, „CloudBees CodeShip“, „Sourcehut“ ir „Okteto“. Per pastaruosius kelis mėnesius kūrėjai pasidalijo savo istorijomis apie panašų piktnaudžiavimą, kurį matė kitose platformose, ir kai kurios iš šių kompanijų pasidalino panašia patirtimi.
Dauguma šis netinkamas naudojimas vyksta tose įmonėse, kurios teikia nuolatinės integracijos paslaugas (PI). Nuolatinė integracija - tai automatizuota kodo pakeitimų, susijusių su keliais bendraautoriais, integravimo į vieną programinės įrangos projektą praktika. Tai yra pirmaujanti „DevOps“ praktika, leidžianti kūrėjams dažnai sujungti kodo pakeitimus į centrinę saugyklą, kurioje tada vykdomi kūrimai ir bandymai.
Naujojo kodo tikslumui patikrinti naudojami automatiniai įrankiai prieš jos integraciją. Šaltinio kodo versijos valdymo sistema yra labai svarbi BP procesui. Versijų valdymo sistemą taip pat papildo kiti patikrinimai, pvz., Automatiniai kodo kokybės testai, sintaksės stiliaus tikrinimo įrankiai ir kt.
Praktiškai debesyje priglobta KI pasiekiama sukūrus naują virtualią mašiną, kuri atlieka kūrimo, paketavimo ir bandymo procesą, o tada rezultatą perduoda projekto vadovui.
Kriptovaliutų kasybos gaujos suprato, kad galėtų piktnaudžiauti šiuo procesu, norėdami pridėti savo kodą, o ši CI virtuali mašina atlikti kriptovaliutos kasybos operacijas, kad užpuolikas prieš ataką gautų nedidelį pelną. Ribotas VM tarnavimo laikas baigiasi, o VM uždaro debesies paslaugų teikėjas.
Taip kriptovaliutų kasybos gaujos piktnaudžiavo „GitHub“ funkcija „Actions“, siūlančia virtualios infrastruktūros funkciją „GitHub“ vartotojams, kad būtų galima išminuoti svetainę ir užšifruoti kriptografiją naudojant paties „GitHub“ serverius.
„GitHub“ ir „GitLab“ nėra vieninteliai KI teikėjai kurie susidūrė su šia piktnaudžiavimu. Remiantis ataskaita, su šia veikla kovojo „Microsoft Azure“, „LayerCI“, „Sourcehut“, „CodeShip“ ir daugelis kitų platformų.
Tokia įmonė kaip „GitLab“ dėl savo didesnio dydžio vis tiek gali sau leisti išlaikyti savo vartotojams nemokamų KI siūlymą, ieškodama kitų būdų, kaip užkirsti kelią piktnaudžiavimui šifravimo kasyklose. Tačiau kiti maži IC teikėjai negali. Praėjusį antradienį priimdami sprendimus apsaugoti savo mokančius klientus, kurie pastebėjo paslaugų pablogėjimą, „Sourcehut“ ir „TravisCI“ teigė, kad dėl nuolatinio piktnaudžiavimo planuoja nebeteikti savo nemokamo intelekto koeficiento.
Tačiau nors nemokamų pakopų pasiūlymų atšaukimas paslaugų teikėjams gali būti vienas iš būdų apriboti jų matomą piktnaudžiavimą, tai nėra optimalus sprendimas vienišiems kūrėjams, naudojantiems šiuos pasiūlymus savo atvirojo kodo projektams. Alternatyvus sprendimas, kurį pasiūlė Berrelleza, būtų įdiegti automatines sistemas, kurios aptiktų šiuos pažeidimus ir reaguotų į juos.. Tačiau norint sukurti tokias sistemas reikalingi ištekliai, kurių kai kurios įmonės negali skirti, taip pat negarantuoja, kad šios sistemos veiktų taip, kaip tikėtasi.