Io.net, jaringan infrastruktur fisik terdesentralisasi (DePIN), baru-baru ini mengalami pelanggaran keamanan siber. Pengguna jahat mengeksploitasi token ID pengguna yang terekspos untuk mengeksekusi serangan injeksi bahasa kueri sistem (SQL), yang menyebabkan perubahan tidak sah pada metadata perangkat dalam jaringan unit pemrosesan grafis (GPU).

Husky.io, kepala petugas keamanan Io.net, segera merespons dengan tindakan perbaikan dan peningkatan keamanan untuk melindungi jaringan. Untungnya, serangan tersebut tidak membahayakan perangkat keras GPU sebenarnya, yang tetap aman karena lapisan izin yang kuat.

Pelanggaran terdeteksi selama lonjakan operasi penulisan ke API metadata GPU, yang memicu peringatan pada pukul 01:05 PST pada tanggal 25 April.

Sebagai tanggapan, langkah-langkah keamanan diperkuat dengan menerapkan pemeriksaan injeksi SQL pada antarmuka program aplikasi (API) dan meningkatkan pencatatan upaya yang tidak sah. Selain itu, solusi autentikasi khusus pengguna menggunakan Auth0 dengan OKTA dengan cepat diterapkan untuk mengatasi kerentanan terkait token otorisasi universal.

Sumber: Hushky.io

Sayangnya, pembaruan keamanan ini bertepatan dengan gambaran singkat dari program hadiah, sehingga memperburuk perkiraan penurunan peserta di sisi pasokan. Akibatnya, GPU sah yang tidak memulai ulang dan memperbarui tidak dapat mengakses API uptime, menyebabkan penurunan signifikan pada koneksi GPU aktif dari 600.000 menjadi 10.000.

Untuk mengatasi tantangan ini, Ignition Rewards Musim 2 telah dimulai pada bulan Mei untuk mendorong partisipasi sisi pasokan. Upaya yang sedang berjalan termasuk berkolaborasi dengan pemasok untuk meningkatkan, memulai ulang, dan menyambungkan kembali perangkat ke jaringan.

Pelanggaran ini berasal dari kerentanan yang muncul saat menerapkan mekanisme proof-of-work (PoW) untuk mengidentifikasi GPU palsu. Patch keamanan yang agresif sebelum insiden tersebut mendorong peningkatan metode serangan, sehingga memerlukan tinjauan dan perbaikan keamanan yang berkelanjutan.

Terkait: AI mengalami krisis perangkat keras: Begini cara cloud terdesentralisasi dapat memperbaikinya

Para penyerang mengeksploitasi kerentanan dalam API untuk menampilkan konten di penjelajah input/output, dan secara tidak sengaja mengungkapkan ID pengguna saat melakukan pencarian berdasarkan ID perangkat. Aktor jahat mengumpulkan informasi yang bocor ini ke dalam database beberapa minggu sebelum pelanggaran terjadi.

Para penyerang memanfaatkan token autentikasi universal yang valid untuk mengakses 'API pekerja', yang memungkinkan perubahan pada metadata perangkat tanpa memerlukan autentikasi tingkat pengguna.

Husky.io menekankan peninjauan menyeluruh dan uji penetrasi pada titik akhir publik untuk mendeteksi dan menetralisir ancaman sejak dini. Meskipun terdapat tantangan, upaya sedang dilakukan untuk memberi insentif pada partisipasi sisi pasokan dan memulihkan koneksi jaringan, memastikan integritas platform sekaligus melayani puluhan ribu jam komputasi per bulan.

Io.net berencana untuk mengintegrasikan perangkat keras chip silikon Apple pada bulan Maret untuk meningkatkan layanan kecerdasan buatan (AI) dan pembelajaran mesin (ML).

Majalah: Kasus penggunaan AI nyata dalam kripto: Pasar AI berbasis kripto, dan analisis keuangan AI