În timp ce costul energiei este critica numărul unu împotriva minerilor de criptomonede astăzi, O altă problemă a apărut în platformele de cloud computing în ultimele luni, de atunci unele grupuri de mineri abuzează de nivelurile gratuite de platforme de servicii cloud pentru exploatarea criptomonedelor.
Citate anterior în atacarea și deturnarea serverelor neperfectate, diverse servicii de integrare continuă (CI) se plâng acum de aceste bande, care înregistrați conturi gratuite pe platforma lor înainte de a trece la noi conturi gratuite până la limita perioadelor de probă.
Deși criptomonedele există doar în lumea digitală, în spatele scenei are loc o operațiune fizică gigantică numită „minerit”.
Bandele operează prin înregistrarea conturilor pe anumite platforme, Înscrierea pentru un nivel gratuit și rularea unei aplicații de extragere a criptomonedelor pe infrastructura gratuită a furnizorului. Odată ce perioadele de încercare sau creditele gratuite și-au atins limita, grupurile înregistrează un cont nou și încep din nou pasul XNUMX, menținând serverele furnizorului la limita lor superioară de utilizare și încetinind operațiunile normale.
Lista serviciilor care au fost abuzate în acest fel include servicii precum GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut și Okteto. În ultimele luni, dezvoltatorii și-au împărtășit propriile povești despre abuzuri similare pe care le-au văzut pe alte platforme, iar unele dintre aceste companii au venit să împărtășească experiențe similare de abuz.
Majoritatea această utilizare abuzivă apare la companiile care oferă servicii de integrare continuă (CI). Integrarea continuă este practica automatizării integrării modificărilor de cod de la mai mulți colaboratori într-un singur proiect software. Aceasta este o practică DevOps de vârf, care permite dezvoltatorilor să îmbine frecvent modificările de cod într-un depozit central în care se execută compilări și teste.
Instrumentele automate sunt utilizate pentru a verifica acuratețea noului cod înainte de integrarea sa. Un sistem de control al versiunii codului sursă este esențial pentru procesul CI. Sistemul de control al versiunii este, de asemenea, completat de alte verificări, cum ar fi teste automate de calitate a codului, instrumente de verificare a stilului de sintaxă și multe altele.
În practică, CI găzduit în cloud se realizează prin crearea unei noi mașini virtuale care realizează procesul de construire, pachet și test, apoi transmite rezultatul unui manager de proiect.
Bandele miniere de criptomonede și-au dat seama că ar putea abuza de acest proces pentru a adăuga propriul cod și ca această mașină virtuală CI să efectueze operațiuni de minare a criptomonedelor pentru a genera profituri mici pentru atacator înainte de atac. Durata de viață limitată a VM expiră și VM este închisă de furnizorul de cloud.
Acesta este modul în care bandele miniere de criptomonede au abuzat de funcția GitHub Actions, care oferă o caracteristică de infrastructură virtuală utilizatorilor GitHub, pentru a exploata site-ul și a exploata criptarea cu propriile servere GitHub.
GitHub și GitLab nu sunt singurii furnizori de CI care s-au confruntat cu acest abuz. Microsoft Azure, LayerCI, Sourcehut, CodeShip și multe alte platforme s-au luptat cu această activitate, potrivit raportului.
O companie precum GitLab, datorită dimensiunii sale mai mari, își poate permite în continuare să-și păstreze oferta de IC-uri gratuite pentru utilizatorii săi, găsind alte modalități de prevenire a utilizării greșite de către minerii cripto. Dar alți furnizori mici de IC nu pot. Marți trecute, în deciziile lor de a-și proteja clienții plătitori care au văzut degradarea serviciilor, Sourcehut și TravisCI au declarat că intenționează să nu mai ofere nivelurile de IQ gratuite din cauza abuzului continuu.
Dar, deși revocarea ofertelor gratuite de nivel pentru furnizorii de servicii poate fi o modalitate de a limita abuzul pe care îl văd, nu este soluția optimă pentru dezvoltatorii singuri care folosesc aceste oferte pentru proiectele lor open source. O soluție alternativă, așa cum a fost propusă de Berrelleza, ar fi implementarea sistemelor automate care detectează și răspund la aceste abuzuri.. Cu toate acestea, crearea unor astfel de sisteme necesită resurse pe care unele companii nu le pot aloca și nici nu garantează că aceste sisteme funcționează conform așteptărilor.