Le 28 avril, le fondateur d'Io.net dissipera l'appréhension, l'incertitude et la peur en démontrant la formation de clusters en direct via une diffusion en direct.
Il y a eu récemment une cyberattaque contre le réseau d'infrastructure physique décentralisé (DePIN) connu sous le nom d'Io.net. Sur le réseau GPU, des utilisateurs malveillants ont pu apporter des modifications non autorisées aux métadonnées de l'appareil en utilisant des jetons d'ID utilisateur exposés pour effectuer une attaque par injection SQL.
Le responsable de la sécurité d'Io.net, Husky.io, n'a pas perdu de temps pour mettre en œuvre des correctifs et des correctifs de sécurité pour renforcer le système. Grâce à leurs solides couches d’autorisation, le matériel réel des GPU n’a heureusement pas été endommagé par l’assaut.
Une augmentation des opérations d'écriture sur l'API de métadonnées du GPU a déclenché des alarmes à 1 h 05, heure normale du Pacifique, le 25 avril, au cours desquelles la vulnérabilité a été découverte.
La réponse était de renforcer la sécurité en rendant plus difficile l’injection de SQL dans les API et en mieux documentant les cas de tentatives illégales. Une autre solution rapide aux problèmes liés aux UAT a été la mise en œuvre d'un système d'authentification spécifique à l'utilisateur basé sur Auth0 et OKTA.
Cette mise à niveau de la sécurité a coïncidé avec un instantané du programme de récompenses, ce qui est mauvais car cela aggravera encore le déclin prévu de la participation du côté de l’offre. En conséquence, le nombre de connexions GPU actives a chuté de façon spectaculaire, passant de 600 000 à 10 000, car les GPU valides qui ne parvenaient pas à redémarrer et à se mettre à jour n'étaient pas en mesure d'utiliser l'API de disponibilité.
En réponse à ces difficultés, nous avons lancé en mai la saison 2 d'Ignition Rewards pour motiver l'implication du côté de l'offre. La mise à niveau, le redémarrage et la reconnexion des appareils au réseau sont une opération continue qui implique une coordination avec les fournisseurs.
Des vulnérabilités dans la mise en œuvre d'une approche de preuve de travail pour détecter les faux GPU ont conduit à cette compromission. En raison de l'augmentation des tactiques d'attaque provoquées par des correctifs de sécurité agressifs appliqués avant l'événement, des évaluations et des améliorations continues de la sécurité sont nécessaires.
Les attaquants ont accidentellement exposé les identifiants des utilisateurs lors d'une recherche par identifiant d'appareil en tirant parti d'une vulnérabilité de l'API qui permettait l'affichage du contenu dans l'explorateur d'entrées/sorties. Ces données volées se trouvaient déjà dans une base de données quelques semaines avant l'incident.
Les auteurs ont eu accès à la « worker-API » en utilisant un jeton d'authentification universel légitime, qui leur a permis de modifier les informations sur l'appareil sans avoir besoin d'une authentification au niveau de l'utilisateur.
Husky.io a souligné la nécessité d'inspections et de tests d'intrusion réguliers et complets sur les points finaux publics afin d'identifier et d'atténuer rapidement les attaques. Il y a eu des revers, mais les travaux se poursuivent pour rétablir les connexions réseau et promouvoir l’implication du côté de l’offre, ce qui garantira l’intégrité de la plateforme et lui permettra de fournir des milliers d’heures de calcul chaque mois.
En mars, Io.net avait l'intention d'améliorer ses offres d'IA et de ML en intégrant la technologie de la famille de processeurs silicium d'Apple.