Pe 28 aprilie, fondatorul Io.net va risipi teama, incertitudinea și teama, demonstrând formarea clusterelor în direct prin livestream.
A avut loc recent un atac cibernetic asupra rețelei de infrastructură fizică descentralizată (DePIN) cunoscută sub numele de Io.net. În rețeaua GPU, utilizatorii rău intenționați au putut să facă modificări neautorizate la metadatele dispozitivului folosind jetoane de identificare a utilizatorului expuse pentru a efectua un atac de injecție SQL.
Ofițerul șef de securitate al Io.net, Husky.io, nu a pierdut timp în implementarea remedierilor și a corecțiilor de securitate pentru a consolida sistemul. Datorită straturilor lor puternice de permisiuni, hardware-ul real al GPU-urilor a fost, din fericire, nevătămat de atac.
O creștere a operațiunilor de scriere în API-ul metadatelor GPU a declanșat alarme la 1:05 am Pacific Standard Time pe 25 aprilie, în timpul cărora a fost găsită vulnerabilitatea.
Răspunsul a fost de a consolida securitatea făcând mai dificilă injectarea SQL în API-uri și prin documentarea mai bună a cazurilor de încercări ilegale. O altă soluție rapidă pentru problemele cu UAT-urile a fost implementarea unui sistem de autentificare specific utilizatorului, bazat pe Auth0 și OKTA.
Această actualizare de securitate a coincis cu un instantaneu al programului de recompense, ceea ce este rău, deoarece va înrăutăți scăderea proiectată a participării pe partea ofertei. Drept urmare, numărul de conexiuni GPU active a scăzut dramatic de la 600.000 la 10.000, deoarece GPU-urile valide care nu au repornit și nu au reușit să repornească și să actualizeze nu au putut utiliza API-ul de uptime.
Ca răspuns la aceste dificultăți, în mai am lansat Ignition Rewards Sezonul 2 pentru a motiva implicarea din partea ofertei. Actualizarea, repornirea și reconectarea dispozitivelor la rețea este o operațiune continuă care implică coordonarea cu furnizorii.
Vulnerabilitățile în implementarea unei abordări de dovadă a muncii pentru a detecta GPU-urile false au condus la compromis. Datorită creșterii tacticilor de atac cauzate de patch-urile de securitate agresive aplicate înainte de eveniment, sunt necesare evaluări și îmbunătățiri continue de securitate.
Atacatorii au expus accidental ID-urile utilizatorului în timp ce căutau după ID-urile dispozitivului, profitând de o vulnerabilitate API care permitea afișarea conținutului în exploratorul de intrare/ieșire. Aceste date furate erau deja într-o bază de date cu câteva săptămâni înainte de incident.
Făptuitorii au obținut acces la „worker-API” folosind un token de autentificare universal legitim, care le-a permis să modifice informațiile dispozitivului fără a avea nevoie de autentificare la nivel de utilizator.
Husky.io a evidențiat necesitatea unor inspecții regulate și cuprinzătoare și teste de penetrare la punctele finale publice pentru a identifica și atenua rapid atacurile. Au existat eșecuri, dar se lucrează în continuare pentru a restabili conexiunile la rețea și a promova implicarea din partea ofertei, ceea ce va garanta integritatea platformei și îi va permite să deservească mii de ore de calcul în fiecare lună.
În martie, Io.net a intenționat să-și îmbunătățească ofertele AI și ML prin integrarea tehnologiei din familia de procesoare de siliciu a Apple.