28. dubna zakladatel Io.net rozptýlí obavy, nejistotu a děs tím, že předvede živou tvorbu klastrů prostřednictvím živého přenosu.
Nedávno došlo k kybernetickému útoku na síť decentralizované fyzické infrastruktury (DePIN) známou jako Io.net. V síti GPU mohli uživatelé se zlými úmysly provádět neoprávněné změny metadat zařízení pomocí odhalených tokenů ID uživatele k provedení útoku SQL injection.
Hlavní bezpečnostní ředitel Io.net, Husky.io, neztrácel čas implementací oprav a bezpečnostních záplat, aby podpořil systém. Díky jejich silným vrstvám oprávnění byl skutečný hardware GPU naštěstí útokem nepoškozen.
Nárůst operací zápisu do GPU metadata API spustil alarmy 25. dubna v 1:05 pacifického standardního času, během nichž byla zjištěna zranitelnost.
Odpovědí bylo posílení zabezpečení ztížením vkládání SQL do API a lepší dokumentací případů nelegálních pokusů. Další rychlou opravou problémů s UAT byla implementace uživatelského autentizačního systému založeného na Auth0 a OKTA.
Tento upgrade zabezpečení se náhodou shodoval se snímkem programu odměn, což je špatné, protože to značně zhorší předpokládaný pokles účasti na straně nabídky. V důsledku toho počet aktivních připojení GPU dramaticky klesl z 600 000 na 10 000, protože platné GPU, které se nepodařilo restartovat a aktualizovat, nemohly používat API pro dobu provozu.
V reakci na tyto potíže jsme v květnu spustili 2. sezónu Ignition Rewards, abychom motivovali zapojení na straně nabídky. Upgrade, restartování a opětovné připojení zařízení k síti je pokračující operace, která zahrnuje koordinaci s dodavateli.
Ke kompromisu vedly zranitelnosti v implementaci přístupu proof-of-work pro detekci falešných GPU. Vzhledem k nárůstu taktiky útoku způsobeného agresivními bezpečnostními záplatami aplikovanými před událostí, jsou nezbytná průběžná hodnocení a vylepšení zabezpečení.
Útočníci náhodně odhalili ID uživatelů při vyhledávání podle ID zařízení tím, že využili zranitelnosti API, která umožňovala zobrazení obsahu v průzkumníku vstupů/výstupů. Tato odcizená data již byla v databázi několik týdnů před incidentem.
Pachatelé získali přístup k „worker-API“ pomocí legitimního univerzálního autentizačního tokenu, který jim umožňoval upravovat informace o zařízení, aniž by potřebovali autentizaci na uživatelské úrovni.
Husky.io zdůraznil potřebu pravidelných, komplexních kontrol a penetračních testů na veřejných koncových bodech, aby bylo možné rychle identifikovat a zmírnit útoky. Došlo k neúspěchům, ale pokračují práce na obnovení síťových připojení a podpoře zapojení dodavatelské strany, což zaručí integritu platformy a umožní jí obsluhovat tisíce výpočetních hodin každý měsíc.
V březnu Io.net zamýšlel vylepšit své nabídky AI a ML integrací technologie z rodiny křemíkových procesorů společnosti Apple.