В то время как стоимость энергии - это критика номер один в адрес майнеров криптовалют сегодня, Еще одна проблема возникла в платформах облачных вычислений. в последние месяцы, так как некоторые группы майнеров злоупотребляют бесплатными уровнями платформ облачных сервисов для майнинга криптовалют.
Ранее упоминавшиеся в атаках и захвате непатентованных серверов, различные службы непрерывной интеграции (CI) теперь жалуются на эти банды, которые зарегистрируйте бесплатные учетные записи на своей платформе, прежде чем переходить на новые бесплатные учетные записи до предела пробных периодов.
Хотя криптовалюты существуют только в цифровом мире, гигантская физическая операция, называемая «майнинг», происходит за кулисами.
Банды действуют путем регистрации учетных записей на определенных платформах, Подписка на бесплатный уровень и запуск приложения для майнинга криптовалюты в инфраструктуре бесплатного уровня провайдера. Когда пробные периоды или бесплатные кредиты достигают своего предела, группы регистрируют новую учетную запись и снова начинают первый шаг, поддерживая серверы провайдера на их верхнем пределе использования и замедляя нормальные операции.
Список услуг, которыми злоупотребляли таким образом включает такие сервисы, как GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut и Okteto. За последние несколько месяцев разработчики поделились своими собственными историями о подобных злоупотреблениях, которые они видели на других платформах, и некоторые из этих компаний заявили о аналогичном опыте злоупотреблений.
Большая часть это неправомерное использование происходит в компаниях, которые предоставляют услуги непрерывной интеграции (CI). Непрерывная интеграция - это практика автоматизации интеграции изменений кода от нескольких участников в один проект программного обеспечения. Это ведущая практика DevOps, позволяющая разработчикам часто объединять изменения кода в центральный репозиторий, где затем запускаются сборки и тесты.
Автоматизированные инструменты используются для проверки точности нового кода. перед его интеграцией. Система контроля версий исходного кода критически важна для процесса CI. Система контроля версий также дополняется другими проверками, такими как автоматические тесты качества кода, инструменты проверки стиля синтаксиса и многое другое.
На практике CI в облаке достигается путем создания новой виртуальной машины, которая выполняет сборку, пакетирование и тестирование, а затем передает результат менеджеру проекта.
Банды майнинга криптовалюты осознали, что они могут злоупотребить этим процессом, чтобы добавить свой собственный код и заставить эту виртуальную машину CI выполнять операции майнинга криптовалюты, чтобы получить небольшую прибыль для злоумышленника до атаки. Ограниченный срок службы виртуальной машины истекает, и виртуальная машина отключается поставщиком облака.
Вот как банды майнинга криптовалюты злоупотребляли функцией GitHub Actions, которая предлагает пользователям GitHub функцию виртуальной инфраструктуры, для майнинга сайта и майнинга криптовалюты с помощью собственных серверов GitHub.
GitHub и GitLab - не единственные поставщики CI кто столкнулся с этим злоупотреблением. Согласно отчету, Microsoft Azure, LayerCI, Sourcehut, CodeShip и многие другие платформы боролись с этой деятельностью.
Такая компания, как GitLab, из-за своего большего размера, по-прежнему может позволить себе предлагать бесплатные CI для своих пользователей, находя другие способы предотвращения неправомерного использования крипто-майнерами. Но другие небольшие поставщики ИС не могут. В прошлый вторник, приняв решение защитить своих платежеспособных клиентов, которые столкнулись с ухудшением качества обслуживания, Sourcehut и TravisCI заявили, что планируют прекратить предлагать свои бесплатные уровни IQ из-за продолжающихся злоупотреблений.
Но хотя отмена предложений бесплатного уровня для поставщиков услуг может быть способом ограничить злоупотребления, которые они видят, это не оптимальное решение для одиноких разработчиков, использующих эти предложения для своих проектов с открытым исходным кодом. Альтернативным решением, предложенным Берреллезой, было бы развертывание автоматизированных систем, которые обнаруживают эти злоупотребления и реагируют на них.. Однако создание таких систем требует ресурсов, которые некоторые компании не могут выделить, и не гарантирует, что эти системы работают должным образом.