Zatiaľ čo cena energie je kritikou číslo jedna proti baníkom kryptomien dnes, Ďalší problém nastal na platformách cloud computingu v posledných mesiacoch od r niektoré skupiny baníkov zneužívajú bezplatné úrovne cloudových služieb na ťažbu kryptomien.
Rôzne služby nepretržitej integrácie (CI), ktoré sa predtým spomínali pri útočení a únose neopravených serverov, sa teraz sťažujú na tieto pásma, zaregistrujte si bezplatné účty na svojej platforme pred prechodom na nové bezplatné účty až do limitu skúšobných období.
Aj keď kryptomeny existujú iba v digitálnom svete, v zákulisí prebieha gigantická fyzická operácia zvaná „ťažba“.
Skupiny fungujú registráciou účtov na určitých platformách, Registrácia na bezplatnú vrstvu a spustenie aplikácie na ťažbu kryptomeny na infraštruktúre bezplatnej vrstvy poskytovateľa. Po dosiahnutí limitu skúšobných období alebo kreditov zadarmo skupiny zaregistrujú nový účet a začnú znova prvým krokom, pričom servery poskytovateľa sa budú pohybovať na hornej hranici limitu používania a spomalia sa bežné operácie.
Zoznam služieb, ktoré boli zneužité týmto spôsobom zahŕňa služby ako GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut a Okteto. Za posledných pár mesiacov sa vývojári podelili o svoje vlastné príbehy o podobnom zneužívaní, aké videli na iných platformách, a niektoré z týchto spoločností sa prihlásili, aby sa podelili o podobné skúsenosti so zneužívaním.
Väčšina z toto zneužitie sa vyskytuje v spoločnostiach, ktoré poskytujú služby nepretržitej integrácie (CI). Nepretržitá integrácia je postup automatizácie integrácie zmien kódu od viacerých prispievateľov do jedného softvérového projektu. Toto je popredný postup DevOps, ktorý umožňuje vývojárom často zlúčiť zmeny kódu do centrálneho úložiska, kde sa potom spúšťajú zostavy a testy.
Na overenie presnosti nového kódu sa používajú automatické nástroje pred jeho integráciou. Systém riadenia verzie zdrojového kódu je pre proces CI rozhodujúci. Systém riadenia verzií dopĺňajú aj ďalšie kontroly, napríklad automatizované testy kvality kódu, nástroje na kontrolu štýlu syntaxe a ďalšie.
V praxi sa cloud hostený v CI dosahuje vytvorením nového virtuálneho stroja, ktorý vykonáva proces zostavovania, balenia a testovania a potom odovzdáva výsledok projektovému manažérovi.
Gangy na ťažbu kryptomeny si uvedomili, že by mohli tento proces zneužiť na pridanie vlastného kódu a nechať tento virtuálny stroj CI vykonávať operácie na ťažbu kryptomeny, aby útočníkovi pred útokom priniesli malé zisky. Vyprší obmedzená životnosť VM a VM je vypnutý poskytovateľom cloudu.
Takto zneužili gangy na ťažbu kryptomeny funkciu GitHub Actions, ktorá používateľom GitHubu ponúka funkciu virtuálnej infraštruktúry na ťažbu stránky a ťažbu kryptomeny na vlastných serveroch GitHubu.
GitHub a GitLab nie sú jedinými poskytovateľmi CI ktorí čelili tomuto zneužívaniu. Microsoft Azure, LayerCI, Sourcehut, CodeShip a mnoho ďalších platforiem podľa správy bojovalo s touto aktivitou.
Spoločnosť ako GitLab si kvôli svojej väčšej veľkosti môže stále dovoliť ponechať pre svojich používateľov ponuku bezplatných CI pomocou hľadania ďalších spôsobov, ako zabrániť zneužitiu kryptobaníkmi. Ale iní malí poskytovatelia IC nemôžu. Minulý utorok pri rozhodovaní o ochrane svojich platiacich zákazníkov, ktorí zaznamenali zhoršenie služieb, spoločnosti Sourcehut a TravisCI uviedli, že plánujú prestať ponúkať svoje bezplatné úrovne IQ kvôli pokračujúcemu zneužívaniu.
Aj keď odvolanie bezplatných ponúk pre poskytovateľov služieb môže byť spôsobom, ako obmedziť zneužitie, ktoré vidia, nie je to optimálne riešenie pre osamelých vývojárov, ktorí používajú tieto ponuky pre svoje open source projekty. Alternatívnym riešením, ako navrhuje Berrelleza, by bolo nasadenie automatizovaných systémov, ktoré tieto zneužitia odhalia a reagujú na ne.. Vytvorenie takýchto systémov si však vyžaduje zdroje, ktoré niektoré spoločnosti nemôžu prideliť, ani nezaručuje, že tieto systémy fungujú podľa očakávaní.