Io.net, decentralizovaná síť fyzické infrastruktury (DePIN), nedávno zažila narušení kybernetické bezpečnosti. Uživatelé se zlými úmysly zneužili odhalené tokeny ID uživatele k provedení injektážního útoku jazyka SQL (system query language), což vedlo k neoprávněným změnám v metadatech zařízení v síti grafických procesorů (GPU).

Husky.io, hlavní bezpečnostní ředitel Io.net, okamžitě zareagoval nápravnými opatřeními a bezpečnostními upgrady na ochranu sítě. Naštěstí útok neohrozil skutečný hardware GPU, který zůstává zabezpečený díky robustním vrstvám oprávnění.

Narušení bylo zjištěno během prudkého nárůstu operací zápisu do rozhraní API metadat GPU, které spustilo výstrahy 25. dubna v 1:05 PST.

V reakci na to byla bezpečnostní opatření posílena implementací SQL injection checks na aplikačních programových rozhraních (API) a vylepšením protokolování neoprávněných pokusů. Kromě toho bylo rychle nasazeno řešení autentizace specifické pro uživatele pomocí Auth0 s OKTA, které řeší zranitelnosti související s univerzálními autorizačními tokeny.

Zdroj: Hushky.io

Tato aktualizace zabezpečení se bohužel shodovala se snímkem programu odměn, což zhoršilo očekávaný pokles účastníků na straně nabídky. V důsledku toho legitimní GPU, které se nerestartovaly a neaktualizovaly, neměly přístup k API pro dobu provozu, což způsobilo výrazný pokles aktivních připojení GPU z 600 000 na 10 000.

K řešení těchto výzev byla v květnu zahájena 2. sezóna Ignition Rewards, aby se podpořila účast na straně nabídky. Pokračující úsilí zahrnuje spolupráci s dodavateli na upgradu, restartu a opětovném připojení zařízení k síti.

Narušení pocházelo ze zranitelností zavedených při implementaci mechanismu proof-of-work (PoW) k identifikaci padělaných GPU. Agresivní bezpečnostní záplaty před incidentem vyvolaly eskalaci metod útoků, což si vyžádalo neustálé kontroly a vylepšení zabezpečení.

Související: AI má hardwarovou krizi: Zde je návod, jak to může vyřešit decentralizovaný cloud

Útočníci zneužili zranitelnost v rozhraní API k zobrazení obsahu v průzkumníku vstupů/výstupů a nechtěně odhalili ID uživatelů při vyhledávání podle ID zařízení. Zlomyslní aktéři shromáždili tyto uniklé informace do databáze týdny před porušením.

Útočníci využili platný univerzální ověřovací token pro přístup k ‚pracovnímu-API‘, což umožnilo změny metadat zařízení bez nutnosti ověření na úrovni uživatele.

Husky.io zdůraznil průběžné důkladné kontroly a penetrační testy na veřejných koncových bodech s cílem včasně detekovat a neutralizovat hrozby. Navzdory výzvám se vyvíjí úsilí o pobídky k účasti na straně nabídky a obnovení síťových připojení, což zajišťuje integritu platformy a zároveň obsluhuje desítky tisíc výpočetních hodin měsíčně.

Io.net plánoval v březnu integrovat hardware křemíkového čipu Apple, aby vylepšil své služby umělé inteligence (AI) a strojového učení (ML).

Magazine: Skutečné případy použití AI v krypto: Trhy s AI založené na krypto a finanční analýza AI