Medan energikostnaden är den främsta kritiken mot gruvarbetare av kryptovalutor idag, ett annat problem har uppstått i plattformar för molndatorer de senaste månaderna sedan vissa grupper av gruvarbetare missbrukar fria nivåer av molntjänstplattformar för att bryta kryptovalutor.
Tidigare citerade i att attackera och kapa omatchade servrar, klagar nu olika Continuous Integration (CI) -tjänster över dessa gäng, som registrera gratis konton på sin plattform innan du flyttar till nya gratis konton upp till gränsen för testperioder
Även om kryptovalutor bara finns i den digitala världen, sker en gigantisk fysisk operation som kallas "gruvdrift" bakom kulisserna.
Gäng fungerar genom att registrera konton på vissa plattformar, Registrera dig för en gratis nivå och köra en kryptovaluta-gruvapplikation på leverantörens kostnadsnivåinfrastruktur. När testperioder eller gratis krediter har nått sin gräns, registrerar grupper ett nytt konto och börjar steg ett igen, vilket håller leverantörens servrar vid sin övre användningsgräns och saktar ner normal drift.
Listan över tjänster som har missbrukats på detta sätt inkluderar tjänster som GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut och Okteto. Under de senaste månaderna har utvecklare delat sina egna berättelser om liknande missbruk som de har sett på andra plattformar, och några av dessa företag har kommit fram för att dela liknande erfarenheter av missbruk.
De flesta av detta missbruk förekommer i företag som tillhandahåller kontinuerliga integrationstjänster (CI). Kontinuerlig integration är praxis att automatisera integreringen av kodändringar från flera bidragsgivare till ett enda programvaruprojekt. Detta är en ledande DevOps-praxis som gör det möjligt för utvecklare att ofta slå samman kodändringar i ett centralt arkiv där bygg och test sedan körs.
Automatiserade verktyg används för att verifiera den nya kodens noggrannhet före integrationen. Ett styrsystem för källkodsversion är avgörande för CI-processen. Versionskontrollsystemet kompletteras också med andra kontroller, såsom automatiserade kodkvalitetsprov, syntaxstilkontrollverktyg och mer.
I praktiken uppnås molnhostad CI genom att skapa en ny virtuell maskin som utför bygg-, paket- och testprocessen och sedan vidarebefordrar resultatet till en projektledare.
Gruvgrupper i kryptovaluta insåg att de kunde missbruka denna process för att lägga till sin egen kod och få denna virtuella CI-maskin att utföra kryptovalutabrytningsoperationer för att generera små vinster för angriparen före attacken. Den begränsade livslängden för den virtuella datorn löper ut och den virtuella datorn stängs av av molnleverantören.
Så här missbrukade kryptovalutagrupper GitHub's Actions-funktion, som erbjuder en virtuell infrastrukturfunktion för GitHub-användare, för att bryta webbplatsen och gruva krypto med GitHubs egna servrar.
GitHub och GitLab är inte de enda CI-leverantörerna som har mött detta missbruk. Microsoft Azure, LayerCI, Sourcehut, CodeShip och många andra plattformar har kämpat med denna aktivitet, enligt rapporten.
Ett företag som GitLab, på grund av sin större storlek, har fortfarande råd att behålla sitt erbjudande av gratis CI för sina användare genom att hitta andra sätt att förhindra missbruk av krypto gruvarbetare. Men andra små IC-leverantörer kan inte. Förra tisdagen, i sina beslut för att skydda sina betalande kunder som såg tjänsteförsämring, sa Sourcehut och TravisCI att de planerar att sluta erbjuda sina kostnadsfria IQ-nivåer på grund av pågående missbruk.
Men även om det kan vara ett sätt att begränsa det missbruk de ser, kan det inte vara den optimala lösningen för ensamma utvecklare som använder dessa erbjudanden för sina open source-projekt. En alternativ lösning, som Berrelleza föreslog, skulle vara att distribuera automatiserade system som upptäcker och svarar på dessa missbruk.. Men för att skapa sådana system krävs resurser som vissa företag inte kan fördela, och det garanterar inte heller att dessa system fungerar som förväntat.