Trong khi chi phí năng lượng là chỉ trích số một chống lại các thợ đào tiền điện tử ngày nay, một vấn đề khác đã phát sinh trong các nền tảng điện toán đám mây trong những tháng gần đây, kể từ một số nhóm thợ đào đang lạm dụng mức độ miễn phí của các nền tảng dịch vụ đám mây để khai thác tiền điện tử.
Trước đây được trích dẫn về việc tấn công và chiếm quyền điều khiển các máy chủ chưa được vá, các dịch vụ Tích hợp liên tục (CI) khác nhau hiện đang phàn nàn về các băng nhóm này, đăng ký tài khoản miễn phí trên nền tảng của họ trước khi chuyển sang tài khoản miễn phí mới cho đến giới hạn thời gian dùng thử.
Mặc dù tiền điện tử chỉ tồn tại trong thế giới kỹ thuật số, nhưng một hoạt động vật lý khổng lồ được gọi là "khai thác" diễn ra ở hậu trường.
Các băng nhóm hoạt động bằng cách đăng ký tài khoản trên một số nền tảng nhất định, Đăng ký cấp miễn phí và chạy ứng dụng khai thác tiền điện tử trên cơ sở hạ tầng cấp miễn phí của nhà cung cấp. Khi thời gian dùng thử hoặc tín dụng miễn phí đã đạt đến giới hạn, các nhóm đăng ký tài khoản mới và bắt đầu lại bước một, giữ cho máy chủ của nhà cung cấp ở giới hạn sử dụng cao hơn và làm chậm hoạt động bình thường.
Danh sách các dịch vụ đã bị lạm dụng theo cách này bao gồm các dịch vụ như GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut và Okteto. Trong vài tháng qua, các nhà phát triển đã chia sẻ những câu chuyện của riêng họ về việc lạm dụng tương tự mà họ đã thấy trên các nền tảng khác và một số công ty trong số này đã chia sẻ những trải nghiệm tương tự về việc lạm dụng.
Hầu hết việc lạm dụng này xảy ra ở các công ty cung cấp dịch vụ tích hợp liên tục (CI). Tích hợp liên tục là thực hành tự động hóa việc tích hợp các thay đổi mã từ nhiều người đóng góp vào một dự án phần mềm duy nhất. Đây là một phương pháp DevOps hàng đầu, cho phép các nhà phát triển thường xuyên hợp nhất các thay đổi mã vào một kho lưu trữ trung tâm, nơi các bản dựng và thử nghiệm sau đó được chạy.
Các công cụ tự động được sử dụng để xác minh tính chính xác của mã mới trước khi tích hợp của nó. Hệ thống kiểm soát phiên bản mã nguồn rất quan trọng đối với quá trình CI. Hệ thống kiểm soát phiên bản cũng được bổ sung bởi các kiểm tra khác, chẳng hạn như kiểm tra chất lượng mã tự động, công cụ kiểm tra kiểu cú pháp và hơn thế nữa.
Trên thực tế, CI được lưu trữ trên đám mây đạt được bằng cách tạo một máy ảo mới thực hiện quá trình xây dựng, đóng gói và thử nghiệm, sau đó chuyển kết quả cho người quản lý dự án.
Các băng nhóm khai thác tiền điện tử nhận ra rằng họ có thể lạm dụng quy trình này để thêm mã của riêng mình và yêu cầu máy ảo CI này thực hiện các hoạt động khai thác tiền điện tử để tạo ra lợi nhuận nhỏ cho kẻ tấn công trước cuộc tấn công. Tuổi thọ giới hạn của máy ảo sẽ hết hạn và nhà cung cấp dịch vụ đám mây sẽ tắt máy ảo.
Đây là cách các băng nhóm khai thác tiền điện tử lạm dụng tính năng GitHub Actions, tính năng này cung cấp tính năng cơ sở hạ tầng ảo cho người dùng GitHub, để khai thác trang web và khai thác tiền điện tử bằng các máy chủ của chính GitHub.
GitHub và GitLab không phải là nhà cung cấp CI duy nhất những người đã phải đối mặt với sự lạm dụng này. Theo báo cáo, Microsoft Azure, LayerCI, Sourcehut, CodeShip và nhiều nền tảng khác đã phải vật lộn với hoạt động này.
Một công ty như GitLab, do quy mô lớn hơn, vẫn có thể đủ khả năng để duy trì việc cung cấp các CI miễn phí cho người dùng bằng cách tìm các cách khác để ngăn chặn việc sử dụng sai mục đích của các thợ đào tiền điện tử. Nhưng các nhà cung cấp vi mạch nhỏ khác không thể. Thứ Ba tuần trước, trong quyết định bảo vệ khách hàng trả tiền của họ, những người đã chứng kiến sự xuống cấp của dịch vụ, Sourcehut và TravisCI cho biết họ có kế hoạch ngừng cung cấp các cấp IQ miễn phí do tình trạng lạm dụng đang diễn ra.
Nhưng mặc dù việc thu hồi các ưu đãi cấp miễn phí dành cho các nhà cung cấp dịch vụ có thể là một cách để hạn chế sự lạm dụng mà họ thấy, nhưng đó không phải là giải pháp tối ưu cho các nhà phát triển đơn độc sử dụng các ưu đãi này cho các dự án nguồn mở của họ. Một giải pháp thay thế, theo đề xuất của Berrelleza, sẽ là triển khai các hệ thống tự động phát hiện và phản hồi những hành vi lạm dụng này.. Tuy nhiên, việc tạo ra các hệ thống như vậy đòi hỏi các nguồn lực mà một số công ty không thể phân bổ, cũng như không đảm bảo rằng các hệ thống này hoạt động như mong đợi.