Io.net, decentralizēts fiziskās infrastruktūras tīkls (DePIN), nesen piedzīvoja kiberdrošības pārkāpumu. Ļaunprātīgi lietotāji izmantoja atklātos lietotāja ID marķierus, lai veiktu sistēmas vaicājumu valodas (SQL) injekcijas uzbrukumu, kā rezultātā tika veiktas nesankcionētas izmaiņas ierīces metadatos grafikas apstrādes bloka (GPU) tīklā.
Husky.io, Io.net galvenais drošības speciālists, nekavējoties atbildēja ar korektīviem pasākumiem un drošības jauninājumiem, lai aizsargātu tīklu. Par laimi, uzbrukums neapdraudēja GPU faktisko aparatūru, kas joprojām ir droša izturīgo atļauju slāņu dēļ.
Pārkāpums tika atklāts GPU metadatu API rakstīšanas darbību pieauguma laikā, aktivizējot brīdinājumus 25. aprīlī plkst. 1:05 pēc Klusā okeāna piekrastes laika.
Atbildot uz to, tika pastiprināti drošības pasākumi, ieviešot SQL injekcijas pārbaudes lietojumprogrammu saskarnēs (API) un uzlabojot nesankcionētu mēģinājumu reģistrēšanu. Turklāt lietotājam raksturīgs autentifikācijas risinājums, izmantojot Auth0 ar OKTA, tika ātri izvietots, lai novērstu ievainojamības, kas saistītas ar universālajiem autorizācijas marķieriem.
Avots: Hushky.io
Diemžēl šis drošības atjauninājums sakrita ar atlīdzības programmas momentuzņēmumu, saasinot paredzamo piedāvājuma puses dalībnieku skaita samazināšanos. Līdz ar to likumīgie GPU, kas netika restartēti un atjaunināti, nevarēja piekļūt darbības laika API, izraisot ievērojamu aktīvo GPU savienojumu samazināšanos no 600 000 līdz 10 000.
Lai risinātu šīs problēmas, maijā tika uzsākta Ignition Rewards 2. sezona, lai veicinātu piedāvājuma puses līdzdalību. Pastāvīgie centieni ietver sadarbību ar piegādātājiem, lai jauninātu, restartētu un atkārtoti savienotu ierīces ar tīklu.
Pārkāpumu izraisīja ievainojamība, kas tika ieviesta, ieviešot darba pārbaudes (PoW) mehānismu, lai identificētu viltotus GPU. Agresīvie drošības ielāpi pirms incidenta izraisīja uzbrukumu metožu eskalāciju, tādēļ bija nepieciešama nepārtraukta drošības pārbaude un uzlabojumi.
Saistīts: AI ir aparatūras krīze. Lūk, kā to var novērst decentralizēts mākonis
Uzbrucēji izmantoja API ievainojamību, lai parādītu saturu ievades/izvades pārlūkā, nejauši atklājot lietotāju ID, veicot meklēšanu pēc ierīču ID. Ļaunprātīgi dalībnieki apkopoja šo nopludināto informāciju datubāzē nedēļas pirms pārkāpuma.
Uzbrucēji izmantoja derīgu universālu autentifikācijas pilnvaru, lai piekļūtu “darba API”, ļaujot veikt izmaiņas ierīces metadatos, neprasot lietotāja līmeņa autentifikāciju.
Husky.io uzsvēra notiekošos rūpīgos publisko galapunktu pārskatus un iespiešanās testus, lai agrīni atklātu un neitralizētu draudus. Neskatoties uz izaicinājumiem, tiek veikti centieni, lai stimulētu piedāvājuma puses līdzdalību un atjaunotu tīkla savienojumus, nodrošinot platformas integritāti, vienlaikus apkalpojot desmitiem tūkstošu skaitļošanas stundu mēnesī.
Io.net martā plānoja integrēt Apple silīcija mikroshēmu aparatūru, lai uzlabotu mākslīgā intelekta (AI) un mašīnmācīšanās (ML) pakalpojumus.
Žurnāls: reāli AI izmantošanas gadījumi kriptovalūtā: uz kriptogrāfiju balstīti AI tirgi un AI finanšu analīze