28 kwietnia założyciel Io.net rozwieje obawy, niepewność i strach, demonstrując na żywo tworzenie klastrów za pośrednictwem transmisji na żywo.
Niedawno miał miejsce cyberatak na zdecentralizowaną sieć infrastruktury fizycznej (DePIN) znaną jako Io.net. W sieci GPU szkodliwi użytkownicy mogli dokonać nieautoryzowanych zmian w metadanych urządzenia, wykorzystując ujawnione tokeny identyfikatora użytkownika w celu przeprowadzenia ataku polegającego na wstrzykiwaniu kodu SQL.
Dyrektor ds. bezpieczeństwa Io.net, Husky.io, nie tracił czasu na wdrażanie poprawek i poprawek bezpieczeństwa, aby wzmocnić system. Dzięki silnym warstwom uprawnień prawdziwy sprzęt procesorów graficznych nie został na szczęście uszkodzony w wyniku ataku.
Wzrost liczby operacji zapisu w interfejsie API metadanych procesora graficznego wywołał alarmy 25 kwietnia o godzinie 1:05 czasu standardowego pacyficznego, kiedy to wykryto lukę.
Odpowiedzią było wzmocnienie bezpieczeństwa poprzez utrudnienie wstrzykiwania SQL do interfejsów API i lepsze dokumentowanie przypadków nielegalnych prób. Kolejnym szybkim rozwiązaniem problemów z UAT było wdrożenie systemu uwierzytelniania specyficznego dla użytkownika w oparciu o Auth0 i OKTA.
To zwiększenie bezpieczeństwa zbiegło się w czasie z migawką programu nagród, co jest złe, ponieważ znacznie pogorszy przewidywany spadek udziału strony podażowej. W rezultacie liczba aktywnych połączeń GPU spadła dramatycznie z 600 000 do 10 000, ponieważ prawidłowe procesory graficzne, których nie udało się ponownie uruchomić i zaktualizować, nie mogły korzystać z interfejsu API uptime.
W odpowiedzi na te trudności w maju uruchomiliśmy 2. sezon Ignition Rewards, aby zmotywować stronę podażową do zaangażowania. Aktualizacja, ponowne uruchomienie i ponowne podłączenie urządzeń do sieci to ciągła operacja wymagająca koordynacji z dostawcami.
Do kompromisu doprowadziły luki we wdrażaniu metody proof-of-work służącej do wykrywania fałszywych procesorów graficznych. Ze względu na wzrost taktyk ataków spowodowanych agresywnymi poprawkami bezpieczeństwa zastosowanymi przed wydarzeniem, konieczna jest ciągła ocena i ulepszenia bezpieczeństwa.
Osoby atakujące przypadkowo ujawniły identyfikatory użytkowników podczas wyszukiwania według identyfikatorów urządzeń, wykorzystując lukę w zabezpieczeniach interfejsu API, która umożliwiała wyświetlanie treści w eksploratorze wejść/wyjść. Te skradzione dane znajdowały się już w bazie danych na kilka tygodni przed incydentem.
Sprawcy uzyskali dostęp do „worker-API” za pomocą legalnego, uniwersalnego tokena uwierzytelniającego, który umożliwiał im modyfikowanie informacji o urządzeniu bez konieczności uwierzytelniania na poziomie użytkownika.
Husky.io podkreśliło potrzebę regularnych, kompleksowych inspekcji i testów penetracyjnych w publicznych punktach końcowych w celu szybkiego identyfikowania i ograniczania ataków. Wystąpiły pewne niepowodzenia, ale nadal trwają prace nad ponownym ustanowieniem połączeń sieciowych i promowaniem zaangażowania strony podażowej, co zagwarantuje integralność platformy i umożliwi jej obsługę tysięcy godzin obliczeniowych każdego miesiąca.
W marcu Io.net zamierzał ulepszyć swoją ofertę AI i ML poprzez integrację technologii z rodziny krzemowych procesorów Apple.