Ndërsa kostoja e energjisë është kritika numër një kundër minatorëve e kriptovalutave sot, Një problem tjetër ka lindur në platformat e llogaritjes në re në muajt e fundit, që prej disa grupe minatorësh po abuzojnë me nivelet e lira të platformave të shërbimit cloud për të minuar kriptovalutat.
Të cituar më parë në sulmimin dhe rrëmbimin e serverave të papatch, shërbime të ndryshme të Integrimit të Vazhdueshëm (CI) tani po ankohen për këto banda, të cilat regjistroni llogari falas në platformën e tyre përpara se të kaloni në llogari të reja falas deri në kufirin e periudhave të provës.
Megjithëse kriptovalutat ekzistojnë vetëm në botën dixhitale, një operacion gjigant fizik i quajtur "miniera" zhvillohet në prapaskenë.
Bandat operojnë duke regjistruar llogari në platforma të caktuara, Regjistrimi për një shtresë falas dhe drejtimi i një aplikacioni për minierat e kriptomonedhave në infrastrukturën e nivelit falas të ofruesit. Sapo periudhat e provës ose kreditë falas të kenë arritur kufirin e tyre, grupet regjistrojnë një llogari të re dhe fillojnë hapin një përsëri, duke mbajtur serverat e ofruesit në kufirin e tyre të sipërm të përdorimit dhe duke ngadalësuar funksionimet normale.
Lista e shërbimeve që janë abuzuar në këtë mënyrë përfshin shërbime si GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut dhe Okteto. Gjatë muajve të fundit, zhvilluesit kanë ndarë historitë e tyre të abuzimit të ngjashëm që ata kanë parë në platforma të tjera, dhe disa nga këto kompani kanë dalë përpara për të ndarë përvoja të ngjashme të abuzimit.
Shumica e ky keqpërdorim ndodh në ndërmarrjet që ofrojnë shërbime të integrimit të vazhdueshëm (CI) Integrimi i vazhdueshëm është praktika e automatizimit të integrimit të ndryshimeve të kodit nga shumë kontribues në një projekt të vetëm softuer. Kjo është një praktikë kryesore DevOps, e cila lejon zhvilluesit të bashkojnë shpesh ndryshimet e kodit në një depo qendrore ku më pas ekzekutohen ndërtimet dhe testet.
Mjetet e automatizuara përdoren për të verifikuar saktësinë e kodit të ri para integrimit të tij. Një sistem i kontrollit të versionit të kodit burimor është thelbësor për procesin e CI. Sistemi i kontrollit të versionit plotësohet gjithashtu nga kontrolle të tjera, të tilla si testet e automatizuara të cilësisë së kodit, mjetet e kontrollit të stilit sintaksor dhe më shumë.
Në praktikë, CI i strehuar në cloud arrihet duke krijuar një makinë të re virtuale që kryen procesin e ndërtimit, paketimit dhe provës, pastaj ia transmeton rezultatin një menaxheri të projektit.
Bandat e minierave të kriptomonedhave e kuptuan që ata mund të abuzonin me këtë proces për të shtuar kodin e tyre dhe që kjo makinë CI virtuale të kryejë operacione të minierave të kriptomonedhave për të gjeneruar fitime të vogla për sulmuesin para sulmit. Jetëgjatësia e kufizuar e VM skadon dhe VM mbyllet nga ofruesi i reve.
Kjo është mënyra se si bandat e minierave të kriptomonedhave abuzuan me funksionin GitHub Actions, i cili ofron një veçori të infrastrukturës virtuale për përdoruesit e GitHub, për të minuar sitin dhe minuar kripton me serverat e vetë GitHub.
GitHub dhe GitLab nuk janë ofruesit e vetëm të CI të cilët janë përballur me këtë abuzim. Sipas raportit, Microsoft Azure, LayerCI, Sourcehut, CodeShip dhe shumë platforma të tjera kanë luftuar me këtë aktivitet.
Një kompani si GitLab, për shkak të madhësisë së saj më të madhe, ende mund të përballojë të mbajë ofertën e saj të CI falas për përdoruesit e saj duke gjetur mënyra të tjera për të parandaluar keqpërdorimin nga minatorët e kriptos. Por ofruesit e tjerë të vegjël të IC nuk munden. Të martën e kaluar, në vendimet e tyre për të mbrojtur klientët e tyre pagues që panë degradimin e shërbimit, Sourcehut dhe TravisCI thanë se ata planifikojnë të ndalojnë ofrimin e niveleve të tyre të IQ falas për shkak të abuzimit të vazhdueshëm.
Por ndërsa anulimi i ofertave të niveleve falas për ofruesit e shërbimeve mund të jetë një mënyrë për të kufizuar abuzimin që ata shohin, nuk është zgjidhja optimale për zhvilluesit e vetëm që përdorin këto oferta për projektet e tyre me burim të hapur. Një zgjidhje alternative, siç është propozuar nga Berrelleza, do të ishte vendosja e sistemeve të automatizuara që zbulojnë dhe reagojnë ndaj këtyre abuzimeve.. Sidoqoftë, krijimi i sistemeve të tilla kërkon burime që disa kompani nuk mund t'i alokojnë, dhe as nuk garanton që këto sisteme të funksionojnë siç pritet.