博客
2024 年 4 月 14 日
RubyGems.org 上的加密奖励的影响
作者 Maciej Mensfeld
近来,在 RubyGems.org 中,我们遇到大量异常的空包,引发了我们团队的调查。这些空包大量涌入,里面引用了一个相当流行的程序包,暗示有尝试操纵 tea.xyz 协议的可能。对于任何潜在的危险事件,我们都致力于深入调查这些提交背后的动机和机制。这篇文章介绍了我们的调查、我们得出的结论以及理论上,想要滥用该系统的人如何曲解奖励开源贡献的想法。
tea.xyz 触发器
tea.xyz 加密货币的创建者声称它诞生于增强开源软件的可持续性,通过基于开源软件在该软件生态系统中的影响力来奖励项目。它声称利用“贡献证明”系统(灵感来源是谷歌的 PageRank)来衡量各个开源软件程序包的影响。
意外后果
然而,善意常常伴随着挑战。在 RubyGems.org 中,我们开始注意到一个奇怪的趋势:大量空包。这些包本身并不有害,但奇怪之处在于它们持续不断地引用了一个不那么流行的开源软件程序包。
调查异常
对于生态系统中的任何偏差,我们都会进行调查。我们考虑了多种情况
- 垃圾邮件攻击会使我们的系统不堪重负。
- 恶意活动的掩护。
- 操纵 tea.xyz 排名系统的计划。
让我们惊讶的是,很多程序包都是在拥有合法程序包的账户中发布的。
深入研究后,我们发现这些账户链接到了一个下载量超过 10 万次的程序包,6 年之后,它的 GitHub 源被更改为包含一个 tea.yaml 文件。这一调查让我们认为,这些活动的目的在于利用 tea.xyz 协议,而不是破坏我们的生态系统。
解决问题
这次的发现让我们不得不进一步严格我们的 Gem 发布限制,并对无恶意、但异常的用户行为加强了监控。在清理期间,我们的 Gem 索引更新出现了短暂、轻微的延迟。我们还采取了严格行动,对那些专门用来发送垃圾邮件的账号进行了处理,以确保它们不会对社区造成进一步干扰。
结论与呼吁
奖励开源贡献虽然看起来很崇高,但它可能会带来意想不到的后果,对 RubyGems.org 和其他平台产生影响,正如 web3isgoinggreat.com 文章 所详细阐述的那样。在 RubyGems.org,我们遇到过消耗我们资源、破坏我们社区信任和协作的利用尝试。我们仍然致力于维护 RubyGems.org 的完整性,并支持更广泛的开源社区,我们敦促其他人不要从事如本事件报告所描述的剥削行为。RubyGems.org 团队严肃对待此类事件,发现违反条款或滥用服务的账号将会被封禁,其所有权访问权也会被撤销。