28 квітня засновник Io.net розвіє побоювання, невпевненість і страх, продемонструвавши формування кластерів у прямому ефірі.
Нещодавно відбулася кібератака на мережу децентралізованої фізичної інфраструктури (DePIN), відому як Io.net. У мережі GPU зловмисники змогли внести неавторизовані зміни в метадані пристрою, використовуючи розкриті маркери ідентифікатора користувача для виконання атаки SQL-ін’єкції.
Головний спеціаліст із безпеки Io.net, Husky.io, не гаяв часу на впровадження виправлень і патчів безпеки для зміцнення системи. Завдяки потужним рівням дозволу справжнє обладнання графічних процесорів, на щастя, не постраждало від нападу.
Збільшення кількості операцій запису в API метаданих графічного процесора викликало тривоги о 1:05 ночі за стандартним тихоокеанським часом 25 квітня, під час яких було виявлено вразливість.
Відповідь полягала в посиленні безпеки шляхом ускладнення впровадження SQL в API і кращого документування випадків незаконних спроб. Ще одним швидким вирішенням проблем з UAT було впровадження системи автентифікації користувача на основі Auth0 і OKTA.
Це оновлення безпеки співпало з моментальним знімком програми винагород, що погано, оскільки це погіршить прогнозоване зниження участі на стороні пропозиції. У результаті кількість активних підключень графічного процесора різко впала з 600 000 до 10 000, оскільки дійсні графічні процесори, які не вдалося перезапустити й оновити, не змогли використовувати API безвідмовної роботи.
У відповідь на ці труднощі в травні ми запустили 2 сезон Ignition Rewards, щоб мотивувати участь постачальників. Оновлення, перезапуск і повторне підключення пристроїв до мережі є постійною операцією, яка передбачає координацію з постачальниками.
До компрометації призвели вразливості в реалізації підходу перевірки роботи для виявлення підроблених графічних процесорів. Через збільшення кількості тактик атак, викликаних агресивними виправленнями безпеки, застосованими перед подією, необхідні постійні оцінки безпеки та вдосконалення.
Зловмисники випадково розкрили ідентифікатори користувачів під час пошуку за ідентифікаторами пристроїв, скориставшись уразливістю API, яка дозволяла відображати вміст у провіднику вводу/виводу. Ці викрадені дані вже були в базі даних за кілька тижнів до інциденту.
Зловмисники отримали доступ до «worker-API» за допомогою законного універсального маркера автентифікації, який дозволив їм змінювати інформацію про пристрій без необхідності автентифікації на рівні користувача.
Husky.io підкреслив необхідність регулярних комплексних перевірок і тестування на проникнення на загальнодоступних кінцевих точках, щоб швидко виявляти та пом’якшувати атаки. Були невдачі, але продовжується робота з відновлення мережевих з’єднань і сприяння залученню постачальників, що гарантуватиме цілісність платформи та дозволить їй обслуговувати тисячі обчислювальних годин щомісяця.
У березні Io.net мав намір покращити свої пропозиції штучного інтелекту та машинного навчання, інтегрувавши технологію сімейства силіконових процесорів Apple.