分散型物理インフラストラクチャ ネットワーク (DePIN) である Io.net は最近、サイバーセキュリティ侵害を経験しました。悪意のあるユーザーが公開されたユーザー ID トークンを悪用してシステム クエリ言語 (SQL) インジェクション攻撃を実行し、グラフィックス プロセッシング ユニット (GPU) ネットワーク内のデバイス メタデータが不正に変更されました。

Io.net の最高セキュリティ責任者である Husky.io は、ネットワークを保護するために、修復措置とセキュリティ アップグレードを迅速に実施しました。幸いなことに、攻撃によって GPU の実際のハードウェアが侵害されることはなく、堅牢な許可レイヤーにより安全性は維持されています。

この侵害は、GPU メタデータ API への書き込み操作の急増中に検出され、4 月 25 日午前 1 時 5 分 (太平洋標準時) にアラートがトリガーされました。

これに対応して、アプリケーション プログラム インターフェイス (API) に SQL インジェクション チェックを実装し、不正な試行のログ記録を強化することで、セキュリティ対策が強化されました。さらに、ユニバーサル認証トークンに関連する脆弱性に対処するため、Auth0 と OKTA を使用したユーザー固有の認証ソリューションが迅速に導入されました。

出典: Hushky.io

残念ながら、このセキュリティ アップデートは報酬プログラムのスナップショットと重なり、サプライサイド参加者の予想された減少を悪化させました。その結果、再起動とアップデートを行わなかった正規の GPU はアップタ​​イム API にアクセスできず、アクティブな GPU 接続が 600,000 から 10,000 に大幅に減少しました。

これらの課題に対処するため、サプライサイドの参加を促すために、Ignition Rewards シーズン 2 が 5 月に開始されました。継続的な取り組みには、サプライヤーと協力してデバイスのアップグレード、再起動、ネットワークへの再接続を行うことが含まれます。

この侵害は、偽造 GPU を識別するためのプルーフ オブ ワーク (PoW) メカニズムの実装中に生じた脆弱性が原因でした。インシデント前の積極的なセキュリティ パッチにより攻撃手法がエスカレートし、継続的なセキュリティ レビューと改善が必要になりました。

関連: AI のハードウェア危機: 分散型クラウドで解決する方法

攻撃者は、入出力エクスプローラーにコンテンツを表示するための API の脆弱性を悪用し、デバイス ID で検索したときにユーザー ID が誤って公開されました。悪意のある攻撃者は、侵害の数週間前にこの漏洩した情報をデータベースにまとめていました。

攻撃者は有効なユニバーサル認証トークンを利用して「ワーカー API」にアクセスし、ユーザーレベルの認証を必要とせずにデバイスのメタデータを変更できるようにしました。

Husky.io は、脅威を早期に検出して無効化するために、パブリック エンドポイントでの徹底的なレビューと侵入テストを継続的に実施していることを強調しました。課題はあるものの、サプライサイドの参加を奨励し、ネットワーク接続を回復する取り組みが進行中であり、毎月数万時間のコンピューティング時間を提供しながらプラットフォームの整合性を確保しています。

Io.netは、人工知能（AI）と機械学習（ML）サービスを強化するために、3月にAppleシリコンチップハードウェアを統合することを計画していた。

雑誌: 暗号通貨における実際の AI 使用例: 暗号通貨ベースの AI 市場と AI 財務分析