Podczas gdy koszt energii jest najważniejszą krytyką pod adresem górników kryptowalut dzisiaj, kolejny problem pojawił się w platformach cloud computing w ostatnich miesiącach, ponieważ niektóre grupy górników nadużywają wolnych poziomów platform usług w chmurze do kopania kryptowalut.
Wcześniej cytowane w atakowaniu i przejmowaniu niezałatanych serwerów różne usługi ciągłej integracji (CI) narzekają teraz na te gangi, które zarejestruj bezpłatne konta na swojej platformie przed przejściem na nowe bezpłatne konta do limitu okresów próbnych.
Choć kryptowaluty istnieją tylko w cyfrowym świecie, za kulisami odbywa się gigantyczna fizyczna operacja zwana „wydobyciem”.
Gangi działają poprzez rejestrację kont na określonych platformach, Rejestracja w warstwie bezpłatnej i uruchamianie aplikacji do wydobywania kryptowalut w infrastrukturze warstwy bezpłatnej dostawcy. Gdy okresy próbne lub darmowe kredyty osiągną swój limit, grupy rejestrują nowe konto i rozpoczynają kolejny krok, utrzymując serwery dostawcy na górnym limicie użytkowania i spowalniając normalne operacje.
Lista serwisów, które zostały w ten sposób nadużyte obejmuje usługi takie jak GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut i Okteto. W ciągu ostatnich kilku miesięcy programiści podzielili się własnymi historiami o podobnych nadużyciach, które widzieli na innych platformach, a niektóre z tych firm zgłosiły się, aby podzielić się podobnymi doświadczeniami nadużyć.
Większość to nadużycie występuje w firmach świadczących usługi ciągłej integracji (CI). Ciągła integracja to praktyka automatyzacji integracji zmian kodu od wielu współtwórców w jeden projekt oprogramowania. Jest to wiodąca praktyka DevOps, umożliwiająca programistom częste łączenie zmian kodu w centralne repozytorium, w którym są następnie uruchamiane kompilacje i testy.
Do weryfikacji poprawności nowego kodu wykorzystywane są zautomatyzowane narzędzia przed jego integracją. System kontroli wersji kodu źródłowego ma kluczowe znaczenie dla procesu CI. System kontroli wersji jest również uzupełniany innymi kontrolami, takimi jak automatyczne testy jakości kodu, narzędzia do sprawdzania stylu składni i inne.
W praktyce CI hostowany w chmurze uzyskuje się poprzez utworzenie nowej maszyny wirtualnej, która wykonuje proces kompilacji, pakowania i testowania, a następnie przekazuje wynik kierownikowi projektu.
Gangi zajmujące się kopaniem kryptowalut zdały sobie sprawę, że mogą nadużywać tego procesu, aby dodać własny kod i zlecić tej wirtualnej maszynie CI wykonywanie operacji kopania kryptowalut w celu wygenerowania niewielkich zysków dla atakującego przed atakiem. Ograniczony okres eksploatacji maszyny wirtualnej wygasa i maszyna wirtualna zostaje wyłączona przez dostawcę chmury.
W ten sposób gangi zajmujące się wydobywaniem kryptowalut nadużywały funkcji GitHub Actions, która oferuje użytkownikom GitHub funkcję infrastruktury wirtualnej do kopania witryny i kopania kryptowalut na własnych serwerach GitHub.
GitHub i GitLab to nie jedyni dostawcy CI którzy doświadczyli tego nadużycia. Według raportu Microsoft Azure, LayerCI, Sourcehut, CodeShip i wiele innych platform zmagało się z tą aktywnością.
Firma taka jak GitLab, ze względu na swój większy rozmiar, nadal może sobie pozwolić na utrzymanie swojej oferty bezpłatnych elementów CI dla swoich użytkowników, znajdując inne sposoby zapobiegania nadużyciom przez górników kryptowalut. Ale inni mali dostawcy IC nie mogą. W zeszły wtorek, podejmując decyzje o ochronie płacących klientów, którzy zauważyli pogorszenie usług, Sourcehut i TravisCI powiedzieli, że planują przestać oferować swoje bezpłatne poziomy IQ z powodu ciągłych nadużyć.
Ale chociaż odwołanie ofert bezpłatnych poziomów dla dostawców usług może być jednym ze sposobów ograniczenia obserwowanych nadużyć, nie jest to optymalne rozwiązanie dla samotnych programistów korzystających z tych ofert w swoich projektach open source. Alternatywnym rozwiązaniem, zaproponowanym przez Berrellezę, byłoby wdrożenie zautomatyzowanych systemów, które wykrywają i reagują na te nadużycia.. Jednak tworzenie takich systemów wymaga zasobów, których niektóre firmy nie mogą przydzielić, ani nie gwarantuje, że systemy te będą działać zgodnie z oczekiwaniami.