资深矿工观点 加密货币挖矿正在杀死 CI...

加密货币挖矿正在杀死 CI 免费服务

最多浏览

观点 | PoW 有效率

额外的能量消耗提高了我们的生活水平。

5.24《比特币BTC/以太坊ETH/行情分析+策...

摘要:顺应趋势,才能获益满满前言:顺应趋...

分析:“庶民的盛宴”,Chia挖矿全解析

目前Chia还处于早期红利阶段,在FOMO情绪的带动下,Chia的火爆还会持续一段时间。

由于加密货币挖矿攻击,LayerCI、GitLab、TravisCI 以及 Shippable 等等 CI 提供商都在收紧或关闭其免费服务。

作者 | 田晓旭

2020 年 9 月,GitLab 宣布免费 CI 产品将限制使用;两个月之后,TravisCI 也宣布对“重大滥用”采取类似的限制措施。为什么这些 CI 厂商都会限制免费 CI 产品的使用呢?

深挖其背后原因,我们发现这些变化都与可挖矿加密货币的市值猛增有关。随着加密货币的市值从 2021 年 1 月的 1900 亿美元,激增至 2021 年 4 月的 2 万亿美元,一些企图从可挖矿加密货币获利的不良开发者将目光转向了平台提供商的免费 CI 服务。

加密货币市值激增

加密货币矿工如何在 LayerCI 平台“薅羊毛”?

在 LayerCI 平台,开发者可以通过创建每个分支的预览环境并自动运行端到端测试来构建全栈网站。由于之前,开发者可以在 LayerCI 的服务器上运行任意代码,因此经常有人违反 LayerCI 服务条款来挖掘加密货币。

用户名为“ testronan”的开发者,是 Flask 的狂热用户,他们几乎每一个小时就会提交一次 GitHub 存储库:testronan / MyFirstRepository-Flask。高产的程序员一般都会确保他们的代码能够得到良好的测试,因此我们发现他的存储库包含了五个不同的 CI 服务:TravisCI,CircleCI,GitHub Actions,Wercker 和 LayerCI。

仔细观察他的 CI 任务,我们发现这些 CI 任务看似是在运行 shell 脚本,实际运行的却是“listen.sh”,一个将复杂的 NodeJS 脚本和一些看似随机数结合在一起的 shell 脚本:

拨开迷雾,我们发现 MyFirstRepository-Flask 与 Flask 或 Web 服务器无关,它是将 WebDollars 发送到匿名地址的加密货币挖掘脚本。这些数字对应 WebDollar 的 NodeJS 实现的安装选项。

该存储库不是直接攻击 GitHub,而是滥用 GitHub action 的“ cron”功能来每小时创建一个新提交,并在其他四个 CI 提供程序上挖掘 WebDollars。

接收这些 coin 的两个钱包地址是:

https://www.webdscan.io/address/WEBD%24gBJhmuwat3kvP2@%232E4K2zXX967grh9L43%24

https://www.webdscan.io/address/WEBD%24gCszFRxzuMDbyNXnCXszoB2aIMSuV9kgbb%24

利用浏览器自动化来挖矿

“ vippro99”开发者的做法就没有“testronan”那么巧妙,数十个存储库几乎大部分都与加密货币或浏览器自动化有关。

nodejs-monney 存储库包含了各种脚本,可以通过 Google 流行的 puppeteer 项目启动 chrome 实例。他的逻辑很简单,如果直接在 CI 中挖掘加密货币是很容易被检测到的,而浏览器自动化是 CI 中常见的功能,刚好可以用它来掩盖。

据悉,该账户目前正在攻击 JFrog 的 Shippable CI 服务。我们在 Shippable 官网看到这样一则通知:“Your Shippable service will expire on May 3rd, 2021.”不知道这个决定是否与加密货币挖矿有关。

“ vippro99”提供的信息表明他们是在越南, 以 Monero 的当前价格,加密货币矿工在 Shippable 上的每个实例每月可以获得 2.5 美元,只需要维护 60 个并发实例就可以与该国的全职薪资相当。

加密货币和 CI 服务商是如何应对“薅羊毛”的?

针对以上这些花样百出的“薅羊毛”操作,加密货币和 CI 服务商是如何应对的呢?

最近,以太坊(Ethereum)宣布计划完全禁用基于计算的挖矿来获取新以太坊的方式,完全转向 proof-of-stake (POS) validation model。

而 CI 服务商的解决办法基本都是收紧或者关闭免费服务。2020 年 10 月 1 日开始,GitLab.com 免费层上每个顶级组(或个人命名空间)的 CI / CD 使用时长减少到每月 400 分钟,超出部分会以每 1000 分钟 10 美元的价格收费,开发者也可以自己升级到付费基本;2020 年 11 月 1 日开始,TravisCI 重新制定了定价规则,对于拥有 1、2、或 5 个并发计划的构建定价不变,基于 macOS 构建者的需要额外购买附加组件,同时也发布了新的基于使用情况的定价规则。

参考链接:

https://layerci.com/blog/crypto-miners-are-killing-free-ci/

作者:区块链前哨;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here

20 − 1 =

最新文章

青海等多地发文整顿比特币挖矿 有矿工称其云南矿场已...

继内蒙古率先响应国务院金融委提出的“打击比特币挖矿和交易行为”后,其他地区也开始整顿虚拟货币挖矿产业。6月11日,澎湃新闻从一位矿工处获悉,其在云南托管矿机的矿场于今日上午关停,在新疆托管矿机的矿场也于今日关闭。

一个水电比特币小矿工的心声:我们给贫困山区带来了什...

我们主要是做水电挖比特币的,在四川云南的大山里面有一些水电站,在夏季丰水期的时候,这些水电站可以满负荷运转,给周围的县城和村落供电,因为地形落差大,这边水电站丰水期满负荷运作的时候可以产生比较大的电量。

中国禁止加密货币挖矿,为这个国家开了一扇窗

5月18日,中国三大行业协会(中国互联网金融协会、中国银行业协会、中国支付清算协会)联合发布《关于防范虚拟货币交易炒作风险的公告》,抵制虚拟货币相关的金融活动。

【链得得晚报】俄罗斯议员:俄罗斯央行在加密货币问题...

英国央行行长贝利:当局可能希望限制向数字货币过渡的速度和规模;多个拉丁美洲国家的议员表示对比特币有兴趣;日本SBI与野村证券等合作成立区块链联盟ibet for Fin。

“挖矿”遭遇强监管!青海、内蒙古重拳出击,国内矿场...

6月9日,青海省工业和信息化厅下发《关于对虚拟货币“挖矿“项目开展清理整顿工作的通知》,要求青海省各地区有关虚拟货币“挖矿”行为开展清理整顿。