28. aprīlī Io.net dibinātājs kliedēs bažas, nenoteiktību un bailes, demonstrējot klasteru veidošanu tiešraidē tiešraidē.
Nesen notika kiberuzbrukums decentralizētajam fiziskās infrastruktūras tīklam (DePIN), kas pazīstams kā Io.net. GPU tīklā ļaunprātīgi lietotāji varēja veikt nesankcionētas izmaiņas ierīces metadatos, izmantojot atklātus lietotāja ID pilnvaras, lai veiktu SQL injekcijas uzbrukumu.
Io.net galvenais drošības speciālists Husky.io netērēja laiku, ieviešot labojumus un drošības ielāpus, lai uzlabotu sistēmu. Pateicoties spēcīgajiem atļauju slāņiem, GPU īstā aparatūra par laimi netika ievainota uzbrukumā.
GPU metadatu API rakstīšanas darbību pieaugums 25. aprīlī pulksten 1:05 pēc Klusā okeāna standarta laika izraisīja trauksmes signālus, kuru laikā tika konstatēta ievainojamība.
Atbilde bija drošības stiprināšana, apgrūtinot SQL ievadīšanu API un labāk dokumentējot nelikumīgu mēģinājumu gadījumus. Vēl viens ātrs UAT problēmu risinājums bija lietotājam specifiskas autentifikācijas sistēmas ieviešana, kuras pamatā ir Auth0 un OKTA.
Šis drošības jauninājums sakrita ar atlīdzības programmas momentuzņēmumu, kas ir slikti, jo tas ievērojami pasliktinās prognozēto piedāvājuma puses līdzdalības samazināšanos. Tā rezultātā aktīvo GPU savienojumu skaits dramatiski samazinājās no 600 000 līdz 10 000, jo derīgie GPU, kuriem neizdevās restartēt un atjaunināt, nevarēja izmantot darbspējas laika API.
Reaģējot uz šīm grūtībām, maijā mēs uzsākām Ignition Rewards 2. sezonu, lai motivētu piedāvājuma puses iesaistīšanos. Ierīču jaunināšana, restartēšana un atkārtota pievienošana tīklam ir nepārtraukta darbība, kas ietver saskaņošanu ar pārdevējiem.
Ievainojamības, kas saistītas ar darba pierādījuma pieejas ieviešanu, lai atklātu viltotus GPU, noveda pie kompromisa. Sakarā ar uzbrukuma taktikas pieaugumu, ko izraisa pirms notikuma lietotie agresīvie drošības ielāpi, ir nepieciešami nepārtraukti drošības novērtējumi un uzlabojumi.
Uzbrucēji nejauši atklāja lietotāju ID, veicot meklēšanu pēc ierīču ID, izmantojot API ievainojamību, kas ļāva parādīt saturu ievades/izvades pārlūkprogrammā. Šie nozagtie dati jau bija datubāzē dažas nedēļas pirms incidenta.
Vainīgie ieguva piekļuvi “darba API”, izmantojot likumīgu universālu autentifikācijas pilnvaru, kas ļāva viņiem modificēt ierīces informāciju, neizmantojot autentifikāciju lietotāja līmenī.
Husky.io uzsvēra vajadzību pēc regulārām, visaptverošām pārbaudēm un iespiešanās testēšanas publiskajos galapunktos, lai ātri identificētu un mazinātu uzbrukumus. Ir bijušas neveiksmes, taču turpinās darbs, lai atjaunotu tīkla savienojumus un veicinātu piedāvājuma puses iesaistīšanos, kas garantēs platformas integritāti un ļaus tai katru mēnesi apkalpot tūkstošiem skaitļošanas stundu.
Martā Io.net plānoja uzlabot savus AI un ML piedāvājumus, integrējot tehnoloģiju no Apple silīcija procesoru saimes.