雖然能源成本是對礦工的第一批評 今天的加密貨幣, 雲計算平台出現了另一個問題 近幾個月以來,由於 一些礦工團體正在濫用免費級別 雲服務平台來挖掘加密貨幣。
以前在攻擊和劫持未打補丁的服務器時被引用,現在各種持續集成 (CI) 服務都在抱怨這些團伙, 在試用期限制之前,先在他們的平台上註冊免費帳戶,然後再使用新的免費帳戶。
儘管加密貨幣只存在於數字世界中,但在幕後進行了一項名為“挖礦”的巨大物理操作。
幫派通過在某些平台上註冊帳戶來運作, 註冊免費層並在提供商的免費層基礎架構上運行加密貨幣挖掘應用程序。 一旦試用期或免費積分達到上限,團體就會註冊一個新帳戶並重新開始第一步,將提供商的服務器保持在其使用上限並減慢正常運營的速度。
以這種方式被濫用的服務列表 包括 GitHub、GitLab、Microsoft Azure、TravisCI、LayerCI、CircleCI、Render、CloudBees CodeShip、Sourcehut 和 Okteto 等服務. 在過去的幾個月裡,開發人員分享了他們在其他平台上看到的類似濫用的故事,其中一些公司也站出來分享了類似的濫用經歷。
大多數 這種濫用發生在提供持續集成服務的公司中 (CI)。 持續集成是將來自多個貢獻者的代碼更改自動集成到單個軟件項目中的實踐。 這是一種領先的 DevOps 實踐,允許開發人員經常將代碼更改合併到一個中央存儲庫中,然後在該存儲庫中運行構建和測試。
自動化工具用於驗證新代碼的準確性 在整合之前。 源代碼版本控制系統對 CI 過程至關重要。 版本控制系統還輔以其他檢查,例如自動代碼質量測試、語法樣式檢查工具等。
在實踐中,雲託管 CI 是通過創建一個新的虛擬機來實現的,該虛擬機執行構建、打包和測試過程,然後將結果傳輸給項目經理。
加密貨幣挖掘團伙意識到他們可以濫用這個過程來添加自己的代碼,並讓這個 CI 虛擬機執行加密貨幣挖掘操作,以便在攻擊前為攻擊者創造微薄的利潤。 VM 的有限生命週期到期,VM 將被雲提供商關閉。
這就是加密貨幣挖掘團伙濫用 GitHub Actions 功能(該功能為 GitHub 用戶提供虛擬基礎設施功能)來挖掘站點並使用 GitHub 自己的服務器挖掘加密貨幣的方式。
GitHub 和 GitLab 不是唯一的 CI 提供者 誰曾面臨這種虐待。 報告稱,Microsoft Azure、LayerCI、Sourcehut、CodeShip 和許多其他平台都在努力應對這一活動。
像 GitLab 這樣的公司,由於規模較大,仍然可以通過尋找其他方法來防止加密礦工濫用,繼續為其用戶提供免費 CI。 但其他小型 IC 供應商不能。 上週二,Sourcehut 和 TravisCI 在決定保護服務質量下降的付費客戶時表示,由於持續的濫用,他們計劃停止提供免費的 IQ 水平。
但是,雖然取消服務提供商的免費套餐可能是限制他們看到的濫用的一種方法,但對於將這些優惠用於其開源項目的單獨開發人員來說,這並不是最佳解決方案。 Berrelleza 提出的另一種解決方案是部署自動化系統來檢測和響應這些濫用行為。. 但是,創建這樣的系統需要一些公司無法分配的資源,也不能保證這些系統按預期工作。