Merkezi olmayan bir fiziksel altyapı ağı (DePIN) olan Io.net, yakın zamanda bir siber güvenlik ihlali yaşadı. Kötü niyetli kullanıcılar, sistem sorgu dili (SQL) enjeksiyon saldırısı gerçekleştirmek için açığa çıkan kullanıcı kimliği belirteçlerinden yararlandı ve bu, grafik işlem birimi (GPU) ağı içindeki cihaz meta verilerinde yetkisiz değişikliklere yol açtı.
Io.net'in güvenlik şefi Husky.io, ağı korumak için iyileştirici eylemler ve güvenlik yükseltmeleriyle derhal yanıt verdi. Neyse ki saldırı, güçlü izin katmanları nedeniyle güvenli kalan GPU'ların gerçek donanımına zarar vermedi.
İhlal, GPU meta veri API'sine yazma işlemlerindeki artış sırasında tespit edildi ve 25 Nisan saat 1:05 PST'de uyarılar tetiklendi.
Buna karşılık, uygulama programı arayüzlerinde (API'ler) SQL enjeksiyon kontrolleri uygulanarak ve yetkisiz girişimlerin günlüğe kaydedilmesi geliştirilerek güvenlik önlemleri güçlendirildi. Ek olarak, evrensel yetkilendirme belirteçleriyle ilgili güvenlik açıklarını gidermek için OKTA ile Auth0'ı kullanan kullanıcıya özel bir kimlik doğrulama çözümü hızla devreye alındı.
Kaynak: Hushky.io
Ne yazık ki bu güvenlik güncellemesi, ödül programının anlık görüntüsüyle aynı zamana denk geldi ve arz tarafındaki katılımcılarda beklenen azalmayı daha da kötüleştirdi. Sonuç olarak, yeniden başlatılmayan ve güncellenmeyen meşru GPU'lar, çalışma süresi API'sine erişemedi ve bu da aktif GPU bağlantılarında 600.000'den 10.000'e önemli bir düşüşe neden oldu.
Bu zorlukların üstesinden gelmek amacıyla arz yönlü katılımı teşvik etmek amacıyla Ignition Rewards Sezon 2 Mayıs ayında başlatıldı. Devam eden çabalar arasında, cihazların yükseltilmesi, yeniden başlatılması ve ağa yeniden bağlanması için tedarikçilerle işbirliği yapılması yer alıyor.
İhlal, sahte GPU'ları tespit etmek için bir iş kanıtı (PoW) mekanizması uygulanırken ortaya çıkan güvenlik açıklarından kaynaklandı. Olaydan önce uygulanan agresif güvenlik yamaları, saldırı yöntemlerinde artışa yol açarak sürekli güvenlik incelemeleri ve iyileştirmeler yapılmasını gerektirdi.
İlgili: Yapay zekada donanım krizi var: Merkezi olmayan bulut bunu nasıl düzeltebilir?
Saldırganlar, giriş/çıkış gezgininde içerik görüntülemek için API'deki bir güvenlik açığından yararlandı ve cihaz kimliklerine göre arama yaparken yanlışlıkla kullanıcı kimliklerini açığa çıkardı. Kötü niyetli aktörler, sızdırılan bu bilgileri ihlalden haftalar önce bir veritabanında derledi.
Saldırganlar, "işçi API'sine" erişmek için geçerli bir evrensel kimlik doğrulama belirtecinden yararlanarak, kullanıcı düzeyinde kimlik doğrulama gerektirmeden cihaz meta verilerinde değişiklik yapılmasına olanak sağladı.
Husky.io, tehditleri erken tespit etmek ve etkisiz hale getirmek için halka açık uç noktalarda devam eden kapsamlı incelemelere ve sızma testlerine vurgu yaptı. Zorluklara rağmen, arz tarafı katılımını teşvik etme ve ağ bağlantılarını yeniden kurma, platformun bütünlüğünü sağlama ve ayda on binlerce hesaplama saatine hizmet etme yönünde çabalar sürüyor.
Io.net, yapay zeka (AI) ve makine öğrenimi (ML) hizmetlerini geliştirmek için Mart ayında Apple silikon çip donanımını entegre etmeyi planladı.
Dergi: Kriptoda gerçek yapay zeka kullanım örnekleri: Kripto tabanlı yapay zeka pazarları ve yapay zeka finansal analizi
