Cyberataki na zdecentralizowane sieci nie są rzadkością i tym razem dotkniętym problemem jest Io.net. Niedawno stanął w obliczu naruszenia bezpieczeństwa cybernetycznego, które wpłynęło na metadane jego procesora graficznego. Chociaż atak miał miejsce, sieć nie wyrządziła większych szkód i pozostaje solidna.
Atak na metadane GPU na Io.net
Ostatnio Io.net stanął w obliczu naruszenia bezpieczeństwa cybernetycznego. Wspomniana DePIN (zdecentralizowana sieć infrastruktury fizycznej) doświadczyła naruszenia związanego z tokenami ID użytkownika. Niektóre złośliwe elementy były zaangażowane w wykorzystanie tych tokenów do przeprowadzenia ataku polegającego na wstrzykiwaniu kodu SQL.
Efektem ataku były nieautoryzowane zmiany w metadanych urządzenia. Dotkniętym obszarem były metadane sieci GPU. Chociaż miały miejsce nieautoryzowane zmiany, nie pozostały one niezauważone. Gdy tylko dyrektor ds. bezpieczeństwa sieci Hushky.io dowiedział się o zmianach, zareagował.
GUS udostępnił szczegółowe informacje dotyczące działań zaradczych, które obejmowały pewne ulepszenia zabezpieczeń. Ponadto rozwiali niepewność co do dalszych szkód, ponieważ szkody zostały opanowane w odpowiednim czasie. Zgodnie z dostępnymi informacjami od zespołu ds. bezpieczeństwa Io.net, rzeczywisty sprzęt GPU nie został naruszony.
Dla wspomnianego DePIN-u istnieje wiele solidnych warstw zabezpieczeń. Te warstwy zabezpieczeń zapewniają, że na sprzęt GPU nie mają wpływu żadne nieautoryzowane zmiany. Zespół ds. bezpieczeństwa został zaalarmowany o godzinie 1:05 czasu pacyficznego standardowego w związku ze wzrostem liczby operacji zapisu do interfejsu API.
Niepewność i późniejsze obawy dotyczące bezpieczeństwa
Zespół ds. bezpieczeństwa zareagował wdrożeniem wstrzykiwania SQL i rejestrowaniem nieautoryzowanych prób zmian. Ponadto w celu rozwiązania problemów wdrożono specjalne rozwiązanie OKTA i Auth0. Zmiany te miały na celu załatanie podatności związanych z tokenami uniwersalnymi.
Niefortunnym faktem dotyczącym tych zmian jest zbieżność z programem nagród. W wyniku wdrożenia aktualizacji zabezpieczeń zmniejszyła się liczba uczestników po stronie podaży. Co więcej, liczba aktywnych połączeń GPU spadła z 0,6 mln do 0,1 mln.
Aby zaradzić temu problemowi, Io.net ogłosił w maju 2. sezon Ignition Rewards. Ten program nagród będzie zachęcał stronę podażową do udziału. Twórcy zaplanowali także współpracę z dostawcami w celu aktualizacji i ponownego uruchomienia podłączanych urządzeń.
Do naruszenia doszło w wyniku wdrożenia mechanizmu POW, który ma zapewnić terminową identyfikację podrabianych procesorów graficznych. Ataki nasiliły się po tym, jak agresywne poprawki zabezpieczeń wzbudziły obawy, a później doprowadziły do naruszenia.
Odpowiedź na atak metadanych
Luka spowodowała ujawnienie identyfikatorów użytkowników. Ci szkodliwi aktorzy zgromadzili ujawnione informacje w bazie danych, zanim doszło do naruszenia. Hushky.io, CSO Io.net, odpowiedział na atak na metadane.
A więc – spieprzyliśmy. W dniu 25.04.24 użytkownicy mogli wykorzystać wcześniej ujawnione tokeny identyfikatora użytkownika do przeprowadzenia ataku polegającego na wstrzykiwaniu kodu SQL i bałaganu w metadanych urządzenia. Aby temu zapobiec w przyszłości, przyspieszyliśmy wdrożenie uwierzytelniania zerowego uwierzytelniania (OKTA) pod adresem poziom urządzenia, który… https://t.co/PXdthHMU81
— hushky.io (@0xHushky) 28 kwietnia 2024 r
Hushky.io wyraziło nadzieje dotyczące bezpieczeństwa i dalszych ulepszeń. Podzielili się aktualizacjami dotyczącymi trwających przeglądów i wyników penetracji. Dzięki nowym zmianom możliwe jest szybkie wykrywanie i neutralizowanie zagrożeń. Co więcej, trwają wysiłki mające na celu przywrócenie integralności platformy poprzez zachęty i niezawodne zabezpieczenia.
Io.net planuje również integrację ze sprzętem z chipami krzemowymi Apple w celu ulepszenia usług AI i ML.
Wniosek
Niedawno Io.net stanął w obliczu cyberataku, któremu udało się na czas odeprzeć. Naruszenie bezpieczeństwa miało na celu wpływ na procesory graficzne, ale pozostały one bezpieczne dzięki solidnym warstwom zabezpieczeń. Ponadto GUS ogłosił, że 28 kwietnia odbędzie się transmisja na żywo, która pokaże solidność sieci.