28 апреля основатель Io.net рассеет опасения, неуверенность и страх, продемонстрировав формирование кластера в прямом эфире.
Недавно произошла кибератака на сеть децентрализованной физической инфраструктуры (DePIN), известную как Io.net. В сети графического процессора злоумышленники могли вносить несанкционированные изменения в метаданные устройства, используя открытые токены идентификатора пользователя для выполнения атаки с помощью SQL-инъекции.
Руководитель службы безопасности Io.net, Husky.io, не терял времени даром и внедрил исправления и обновления безопасности для укрепления системы. Благодаря строгим уровням разрешений реальное оборудование графических процессоров, к счастью, не пострадало от нападения.
Увеличение количества операций записи в API метаданных графического процессора вызвало тревогу в 1:05 ночи по тихоокеанскому времени 25 апреля, во время которой была обнаружена уязвимость.
Ответ заключался в том, чтобы усилить безопасность, усложнив внедрение SQL в API и лучше документируя случаи незаконных попыток. Еще одним быстрым решением проблем с UAT стала реализация системы аутентификации для конкретного пользователя на основе Auth0 и OKTA.
Это обновление безопасности совпало с моментальным снимком программы вознаграждений, что плохо, поскольку оно значительно усугубит прогнозируемое снижение участия со стороны предложения. В результате количество активных подключений графических процессоров резко сократилось с 600 000 до 10 000, поскольку действительные графические процессоры, которые не удалось перезапустить и обновить, не могли использовать API времени безотказной работы.
В ответ на эти трудности в мае мы запустили второй сезон Ignition Rewards, чтобы стимулировать участие поставщиков. Обновление, перезапуск и повторное подключение устройств к сети — это постоянная операция, требующая координации с поставщиками.
К компрометации привели уязвимости в реализации метода доказательства работы для обнаружения поддельных графических процессоров. Из-за увеличения количества тактик атак, вызванных агрессивными исправлениями безопасности, примененными перед мероприятием, необходимы постоянные оценки и улучшения безопасности.
Злоумышленники случайно раскрыли идентификаторы пользователей при поиске по идентификаторам устройств, воспользовавшись уязвимостью API, которая позволяла отображать контент в обозревателе ввода-вывода. Эти украденные данные уже находились в базе данных за несколько недель до инцидента.
Злоумышленники получили доступ к «рабочему API», используя законный универсальный токен аутентификации, который позволял им изменять информацию об устройстве без необходимости аутентификации на уровне пользователя.
Husky.io подчеркнул необходимость регулярных комплексных проверок и тестирования на проникновение общедоступных конечных точек для быстрого выявления и смягчения атак. Были и неудачи, но работа по восстановлению сетевых подключений и содействию привлечению поставщиков, что будет гарантировать целостность платформы и позволит ей обслуживать тысячи вычислительных часов каждый месяц, продолжается.
В марте Io.net намеревалась улучшить свои предложения в области искусственного интеллекта и машинного обучения за счет интеграции технологий семейства кремниевых процессоров Apple.
