Medtem ko so stroški energije kritika številka ena proti rudarjem kriptovalut danes, še ena težava se je pojavila v platformah za računalništvo v oblaku v zadnjih mesecih, od nekatere skupine rudarjev zlorabljajo brezplačne ravni platform za storitve v oblaku za pridobivanje kriptovalut.
Različne storitve neprekinjene integracije (CI), ki so bile prej omenjene pri napadih in ugrabitvah nekritih strežnikov, se zdaj pritožujejo nad temi združbami, ki registrirajte brezplačne račune na svoji platformi, preden se preselite na nove brezplačne račune do omejitve preizkusnih obdobij.
Čeprav kriptovalute obstajajo le v digitalnem svetu, se v ozadju dogaja gromozanska fizična operacija, imenovana "rudarstvo".
Tolpe delujejo z registracijo računov na določenih platformah, Prijavite se za brezplačno stopnjo in zaženite aplikacijo za rudarjenje kriptovalut na brezplačni infrastrukturi ponudnika. Ko preskusna obdobja ali brezplačni krediti dosežejo svojo mejo, skupine registrirajo nov račun in znova začnejo prvi korak, pri čemer ohranijo strežnike ponudnika na zgornji meji uporabe in upočasnijo normalno delovanje.
Seznam storitev, ki so bile zlorabljene na ta način vključuje storitve, kot so GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut in Okteto. V zadnjih nekaj mesecih so razvijalci delili svoje zgodbe o podobnih zlorabah, ki so jih videli na drugih platformah, in nekatera od teh podjetij so se pridružila podobnim izkušnjam zlorabe.
Večina ta zloraba se zgodi v podjetjih, ki zagotavljajo storitve stalne integracije (CI). Neprekinjena integracija je praksa avtomatizacije integracije sprememb kode več sodelujočih v en sam programski projekt. To je vodilna praksa DevOps, ki razvijalcem omogoča, da spremembe kode pogosto združijo v osrednje repozitorij, kjer se nato izvajajo gradnje in testi.
Za preverjanje točnosti nove kode se uporabljajo avtomatizirana orodja pred njegovo integracijo. Nadzorni sistem različice izvorne kode je ključnega pomena za postopek CI. Sistem za nadzor različic dopolnjujejo tudi druga preverjanja, kot so samodejni testi kakovosti kode, orodja za preverjanje sloga sintakse in še več.
V praksi gostiteljski vmesnik, ki ga gosti v oblaku, dosežemo z ustvarjanjem novega navideznega stroja, ki izvede postopek izdelave, pakiranja in preskusa, nato pa rezultat posreduje vodji projekta.
Tolpe rudarjenja kriptovalut so spoznale, da lahko ta postopek zlorabijo, da dodajo svojo kodo, in da ta virtualni stroj CI izvaja operacije rudarjenja kriptovalut, da napadalec pred napadom ustvari majhen dobiček. Omejena življenjska doba VM poteče in ponudnik oblaka zaustavi VM.
Tako so tolpe za rudarstvo kriptovalut zlorabljale funkcijo GitHub Actions, ki uporabnikom GitHub ponuja funkcijo navidezne infrastrukture, da bi minirale spletno mesto in minirale kripto z lastnimi strežniki GitHub.
GitHub in GitLab nista edina ponudnika CI ki so se soočili s to zlorabo. Po poročilu se s to dejavnostjo borijo Microsoft Azure, LayerCI, Sourcehut, CodeShip in številne druge platforme.
Podjetje, kot je GitLab, si zaradi večje velikosti še vedno lahko privošči, da svojim uporabnikom obdrži ponudbo brezplačnih CI-jev, tako da poišče druge načine za preprečevanje zlorabe kriptokopov. Toda drugi majhni ponudniki IC ne morejo. Prejšnji torek sta Sourcehut in TravisCI v svojih odločitvah za zaščito svojih plačilnih kupcev, ki so opazili poslabšanje storitev, dejala, da nameravata zaradi nenehnih zlorab prenehati ponujati svoje brezplačne stopnje inteligencije.
A čeprav je preklic brezplačnih ponudb na ravni ponudnikov storitev morda eden od načinov za omejitev zlorabe, ki jo vidijo, to ni optimalna rešitev za samotne razvijalce, ki te ponudbe uporabljajo za svoje odprtokodne projekte. Alternativna rešitev, kot jo predlaga Berrelleza, bi bila uvedba avtomatiziranih sistemov, ki zaznajo in se odzovejo na te zlorabe.. Vendar pa ustvarjanje takšnih sistemov zahteva sredstva, ki jih nekatera podjetja ne morejo dodeliti, niti ne zagotavlja, da ti sistemi delujejo po pričakovanjih.