去中心化物理基础设施网络 (DePIN) Io.net 最近遭遇了网络安全漏洞。恶意用户利用暴露的用户 ID 令牌执行系统查询语言 (SQL) 注入攻击，导致图形处理单元 (GPU) 网络内的设备元数据发生未经授权的更改。

Io.net 的首席安全官 Husky.io 迅速采取行动，采取补救措施并升级安全措施以保护网络。幸运的是，此次攻击并未危及 GPU 的实际硬件，由于强大的权限层，其硬件仍然安全。

该漏洞是在 GPU 元资料 API 写入操作激增期间检测到的，并于 4 月 25 日太平洋标准时间凌晨 1:05 触发警报。

为此，透过对应用程式介面 (API) 实施 SQL 注入检查并加强对未经授权的尝试的记录来加强安全措施。此外，还迅速部署了使用 Auth0 和 OKTA 的特定用户的身份验证解决方案，以解决与通用授权令牌相关的漏洞。

来源：Hushky.io

不幸的是，此安全更新与奖励计划的快照同时发生，加剧了供应方参与者的预期减少。因此，未重新启动和更新的合法 GPU 无法存取正常运行时间 API，导致活动 GPU 连线数从 600,000 个大幅下降至 10,000 个。

为了应对这些挑战，Ignition Rewards 第二季已于 5 月启动，以鼓励供应方参与。持续的努力包括与供应商合作升级、重新启动设备并将其重新连接到网路。

此次外泄源自于实施工作证明 (PoW) 机制以识别假 GPU 时引入的漏洞。事件发生前的积极安全修补程式促使攻击方式升级，需要持续的安全审查和改进。

相关：人工智慧面临硬体危机：去中心化云端如何解决这个问题

攻击者利用 API 中的漏洞在输入/输出浏览器中显示内容，在按装置 ID 搜寻时无意中泄漏使用者 ID。恶意行为者在泄漏事件发生前几周将这些泄漏的资讯编译到资料库中。

攻击者利用有效的通用身份验证令牌来存取“worker-API”，无需用户级身份验证即可更改装置元资料。

Husky.io 强调对公共端点进行持续的彻底审查和渗透测试，以及早发现和消除威胁。尽管面临挑战，我们仍在努力激励供应方参与并恢复网路连接，确保平台的完整性，同时每月提供数万个运算小时的服务。

Io.net计划于3月份整合苹果矽晶片硬件，以增强其人工智慧（AI）和机器学习（ML）服务。

杂志：加密领域的真实人工智慧用例：基于加密的人工智慧市场和人工智慧财务分析